北京
“一個CVSS 7.8分的漏洞,能讓未授權的用戶直接搭起VPN隧道——你認為它嚴重嗎?”5月29日,Palo Alto Networks更新了一份安全公告,確認編號CVE-2026-0257的身份驗證繞過漏洞正在野外遭到利用。同一時間,Rapid7公開發聲,稱已在多家客戶處檢測到成功的攻擊行為,最早可以追溯到5月17日。一邊是廠商語氣審慎的“有限利用嘗試”,另一邊是安全廠商毫不避諱的“影響巨大”,一個中等嚴重性的邊界設備漏洞,正在把企業內網的安全感撕開一道口子。
漏洞源于Palo Alto Networks的PAN-OS操作系統及其Prisma Access服務。根據5月13日首次發布的公告,當防火墻上的GlobalProtect門戶或網關同時啟用“身份驗證覆蓋cookie”功能且存在特定證書配置時,攻擊者可以繞過安全限制,建立未經授權的VPN連接。這種繞過意味著攻擊者不需要拿到有效的用戶名和密碼,就能偽裝成合法用戶接入內部網絡。CVE-2026-0257的CVSS評分7.8分,屬于“高危”級別,但在漏洞披露初期,關注度遠不及那些逼近滿分的遠程執行漏洞。
直到5月29日,Palo Alto Networks在更新中承認,已發現未打補丁且未應用緩解措施的PAN-OS設備遭遇了“有限的攻擊嘗試”。這句話里的“有限”二字,與Rapid7隨后公布的調查結果形成了鮮明反差。Rapid7表示,他們已經確認在多個客戶環境中成功利用了該漏洞,且攻擊分為兩輪:第一輪出現在5月17日,第二輪在5月21日。兩輪活動被歸因給同一個威脅行為者。第二輪攻擊中,Rapid7觀察到至少兩起案例,攻擊者在通過cookie認證后獲取了VPN IP地址,直接進入了內網。雖然Rapid7補充說,在建立VPN會話的客戶環境里并未發現更進一步的橫向移動或數據外傳動作,但那條已經打通的VPN通道,依然讓人無法掉以輕心。
供應商與外部研究機構之間的表述差異,聚焦了一個老問題:漏洞的實際風險,到底該由誰定義?Palo Alto Networks的“有限利用嘗試”側重于攻擊規模小、未觀測到后續破壞;Rapid7的“影響重大”則著眼于攻擊類型本身——一個面向互聯網的企業VPN設備的身份驗證繞過,可以在任何人察覺之前把攻擊者直接送進內網。Rapid7在報告中直言:“邊緣VPN設備的認證繞過可能對受影響的組織產生重大影響。”基于這一點,他們敦促運行受影響設備的組織立刻升級到廠商提供的補丁。這句話沒有附加“有限”或“試圖”這類限定詞,緊迫感拉滿。
面對已經開始的利用活動,Palo Alto Networks給出了兩條臨時緩解路徑:要么禁用身份驗證覆蓋功能,切斷漏洞利用的條件;要么生成一張新證書專門用于該功能,讓舊證書失效。但臨時措施終究不是長久之計,官方補丁才是徹底阻斷漏洞的解法。而現實常常是,補丁發布與攻擊嘗試之間的時間窗口正在不斷收窄:從5月13日漏洞公告,到5月17日首次探測到利用,中間只隔了四天。對于擁有大量邊界設備的企業來說,四天可能還不夠一次變更審批。
此次事件并非孤立。就在差不多的時間段,安全廠商Arctic Wolf報告了另一起針對FortiClient端點管理服務器(EMS)漏洞(CVE-2026-35616,CVSS 9.1)的持續利用,攻擊者借助該漏洞投遞名為EKZ Infostealer的竊密木馬。一個7.8分的PAN-OS漏洞被用于搭建VPN隧道,一個9.1分的FortiClient漏洞被用于竊取憑證,兩條攻擊鏈共同指向一個事實:邊界設備的身份認證控制,正成為攻擊者重點敲鑿的磚墻。當圍繞“有限”還是“重大”的詞匯之爭還未停止時,內網的訪問權限也許已經被寫在某個威脅行為者的會話日志里。
特別聲明:以上內容(如有圖片或視頻亦包括在內)為自媒體平臺“網易號”用戶上傳并發布,本平臺僅提供信息存儲服務。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
