Palo Alto PAN-OS 曝 GlobalProtect 身份验证绕过漏洞：CISA 紧急列入 KEV 目录，攻击者正在利用漏洞建立未授权 VPN 连接

2026年5月29日，美国网络安全和基础设施安全局（CISA）将Palo Alto Networks PAN-OS设备中的一个高危身份验证绕过漏洞（CVE-2026-0257）正式列入已知被利用漏洞（KEV）目录，要求美国联邦机构在2026年6月1日之前完成修复。值得注意的是，Palo Alto Networks已确认该漏洞正在被攻击者实际利用——这标志着短短一个月内，PAN-OS设备再次成为安全攻击的焦点。

漏洞核心：GlobalProtect身份验证绕过

CVE-2026-0257 的漏洞本质在于GlobalProtect Portal和Gateway组件中的身份验证覆盖Cookie机制存在缺陷。具体来说，当PAN-OS设备配置了GlobalProtect Portal或Gateway，并启用了"身份验证覆盖Cookie"（Authentication Override Cookies）功能时，攻击者可以利用Cookie验证过程中的安全缺陷，绕过正常的身份验证流程——无需有效凭据即可建立未经授权的VPN连接，直接穿透企业边界安全进入内网。

根据CWE分类标准，该漏洞属于CWE-565（依赖Cookie而不进行验证和完整性检查），本质上是一种身份验证滥用攻击模式（CAPEC-114）。攻击者通过网络远程发起攻击，攻击复杂度低，无需任何特权账户或用户交互，即可实现对后续系统的机密性和完整性造成高影响。

攻击链条还原：企业VPN如何沦陷

我们从Palo Alto官方公告和技术分析中，可以还原出一条完整的攻击路径：

1. 信息侦察：攻击者通过互联网扫描识别开启GlobalProtect Portal/Gateway的PAN-OS设备，这些端口通常暴露在公网上用于远程办公VPN接入。
2. 配置探测：通过分析目标设备的响应特征，判断是否启用了身份验证覆盖Cookie功能。根据Palo Alto的说明，同时满足"配置了GlobalProtect"、"启用了认证覆盖Cookie"和"特定证书配置"三个条件的设备才受影响。
3. Cookie伪造/操控：利用身份验证覆盖Cookie机制中的验证缺陷，攻击者可以构造或操控Cookie数据，使设备认为该请求来自已认证用户。
4. 建立未授权VPN连接：一旦身份验证被绕过，攻击者即可建立VPN隧道，获取企业内部网络的访问权限。
5. 横向移动：进入内网后，攻击者可进一步扫描内部资产、窃取敏感数据、部署后门或发起其他攻击。

更令人担忧的是，由于攻击者通过VPN隧道进入内网，其流量往往会被安全设备视为"正常的企业VPN流量"，传统的外围安全检测手段（如IDS/IPS、WAF）难以有效识别此类入侵行为。

受影响版本全景

根据Palo Alto Networks安全公告，此次受影响版本范围极广，覆盖PAN-OS 10.2、11.1、11.2、12.1以及Prisma Access五个主要版本线。以下是详细的受影响版本与修复版本对照：

检测与修复方案

第一步：确认是否受影响

管理员需要检查GlobalProtect配置中是否启用了身份验证覆盖Cookie。具体路径如下：

• Portal检查：Network → GlobalProtect → Portals → 选择Portal → Agent → Agent Configuration → Authentication → 查看是否勾选"Generate/Accept cookie for authentication override"
• Gateway检查：Network → GlobalProtect → Gateways → 选择Gateway → Agent → Client Settings → Authentication Override → 查看是否勾选"Accept cookie for authentication override"

第二步：入侵检测

使用以下命令检查PAN-OS日志中是否存在可疑的认证绕过尝试：

show log traffic direction equal server-to-client
| regex "GlobalProtect"

关注异常的VPN连接时间、来源IP和认证行为模式。特别留意来自非预期地区、非业务时段的VPN连接记录。

第三步：修复措施

首选方案（升级修复）：立即升级到上表所列的修复版本。注意：升级后，使用认证覆盖Cookie的GlobalProtect用户需要重新进行一次身份验证——这是一次性流程，因为新版系统将以更安全的方法重新生成Cookie。

临时缓解措施（如无法立即升级）：

1. 禁用身份验证覆盖功能——在GlobalProtect Portal和Gateway配置中取消勾选"Generate cookie for authentication override"和"Accept cookie for authentication override"选项。
2. 使用专用证书——为身份验证覆盖Cookie生成并部署一个专用的、不与任何其他功能共享的证书，并安全存储私钥。
3. 加强访问控制——在PAN-OS设备前端配置访问控制列表（ACL），限制可访问GlobalProtect Portal/Gateway的源IP范围。
4. 启用多因素认证（MFA）——为GlobalProtect VPN配置MFA，增加额外安全层。

第四步：利用后排查（如怀疑已遭入侵）

由于该漏洞可导致攻击者以认证用户身份进入内网，若怀疑设备已被入侵，建议进行以下深度排查：

• 审查所有VPN用户的连接日志，标记异常时段和异常源IP
• 检查是否有新建的本地用户账户或权限变更
• 排查内网关键服务器的访问日志，特别关注来自VPN地址池的可疑活动
• 审查PAN-OS设备自身的配置变更记录
• 考虑轮换所有VPN用户的凭据和证书

深层思考：Palo Alto防火墙为何成为持续攻击目标？

CVE-2026-0257并非今年PAN-OS面临的第一个高危漏洞。就在上个月，Palo Alto Networks还披露了另一个PAN-OS零日漏洞（CVE-2026-0300），同样是允许攻击者在未认证状态下实施远程攻击。当一家全球领先的NGFW厂商在短短一个月内连续曝出被在野利用的安全漏洞时，背后反映的问题值得整个行业深思。

第一，企业边界网关的"单点故障"风险正在加剧。防火墙和VPN网关是绝大多数企业的网络边界，一旦这些设备出现身份验证绕过漏洞，整个企业的内部网络就相当于大门洞开。传统的"边界防护+内网信任"模型在这种场景下显得尤为脆弱。

第二，身份验证覆盖机制的便利性与安全性的矛盾。此漏洞恰恰发生在为提升用户体验而设计的"认证覆盖Cookie"功能上。这个功能的本意是让用户在已有有效会话的情况下免于反复登录，但正是这种"便利性优先"的设计思路，为攻击者打开了绕过认证的窗口。安全设计领域由来已久的"便利性与安全性博弈"，在此案例中再次得到了残酷的验证。

第三，补丁管理的时间窗口持续收窄。从Palo Alto 5月13日发布初始公告，到5月29日被CISA列入KEV目录并要求6月1日前修复——整个时间窗口仅有19天。而现实情况是，许多企业的防火墙升级流程非常保守，需要经过充分的兼容性测试和变更审批，19天的时间远远不够。这使得大量企业将不得不在"未经充分测试就升级"和"暴露于已知在野利用漏洞"之间做出艰难选择。

第四，VPN安全需要纵深防御思维。仅依赖VPN网关本身的身份验证已不足够。企业应建立多层安全控制：VPN接入的MFA强制、设备合规性检查、最小权限原则（用户只能访问工作所需的网络资源）、内网东西向流量的微隔离策略，以及持续的行为分析。单一环节的安全失效不应导致整个安全体系的崩溃。

总结与建议

CVE-2026-0257再次敲响了企业边界安全的警钟。作为Palo Alto Networks的旗舰产品，PAN-OS承载着全球数十万企业的网络边界防护重任。当这样的设备自身出现身份验证绕过漏洞时，其影响远超一般的应用层漏洞。

对于使用PAN-OS设备的企业用户，我们建议：

• 立即行动：检查受影响状态，制定升级计划。CISA设定的6月1日截止日期近在眼前，不要等到最后一刻。
• 分层防护：不要将安全完全依赖在单一设备上。即使在防火墙之后，也应部署内网检测、访问控制和行为分析手段。
• 建立应急流程：为防火墙类关键基础设施制定快速升级和应急响应SOP，缩短从漏洞公告到完成修复的时间窗口。
• 订阅厂商安全通告：确保第一时间收到Palo Alto Networks的产品安全公告，避免信息滞后。

在企业网络安全这场持久战中，没有银弹，只有持续的关注、快速的响应和深度的防御，才能最大限度地降低风险。