Palo Alto Networks揭露的GlobalProtect漏洞已被用於實際攻擊

資安公司Rapid7表示，他們發現採用代管偵測與應變服務（MDR）的客戶遭到攻擊，最早出現的利用活動發生在5月17日，距離Palo Alto Networks發布公告僅有3天。Rapid7強調，雖然Palo Alto Networks評估CVE-2026-0257為高風險漏洞，不過有鑑於已出現實際攻擊活動，再加上影響位於企業網路環境邊緣的VPN系統，且可被繞過身分驗證流程，一旦成功利用，將有可能對受害組織產生重大影響，因此，Rapid7認為，企業應將其視為重大漏洞看待。

Rapid7於世界協調時間（UTC）18日凌晨開始事件應變的處理工作，當時他們偵測到可疑的VPN身分驗證活動，攻擊者以非人類的身分憑證登入本機帳號，根據初步調查的結果，該公司發現有多個客戶的環境遭到入侵，而攻擊來源都是同一個主機代管供應商Vultr。Rapid7的MDR團隊分析相關的技術支援檔案，結果發現，防火牆的雲端身分驗證服務（CAS）被停用，但GlobalProtect入口網站或閘道器啟用了身分驗證覆寫Cookie（authentication override cookies）功能，因此他們研判，攻擊者想要嘗試利用CVE-2026-0257。

5月21日Rapid7看到第二波攻擊，這次攻擊來源是另一家主機代管服務公司Dromatics Systems，但來源的MAC位址與上次相同，因此很可能是同一組人馬所為。攻擊者在成功利用漏洞後，根據cookie的身分驗證分配VPN的IP位址，從而進入受害組織的內部網路環境。在多個客戶的環境裡，Rapid7看到攻擊者利用偽造的cookie而得逞，但他們也發現，在10個受影響的客戶環境當中，有8個客戶的防火牆設備雖然接收cookie，但並未建立完整的VPN連線。