近期围绕Palo Alto Networks GlobalProtect 的漏洞CVE-2026-0257闹出大事:监管机构CISA与厂商先后发出预警后,安全公司Rapid7表示,他们已在客户环境中观察到漏洞被实际利用的活动,且出现了不止一轮攻击。
据Rapid7披露,最早一批利用痕迹出现在5月17日,距离Palo Alto Networks于5月14日发布相关公告仅3天。Rapid7特别指出,虽然厂商对该漏洞给出的风险评级偏高,但更关键的是它落在企业网络边缘的VPN体系上,攻击者还能绕过身份验证流程;一旦利用成功,后果可能从未授权访问迅速升级为更深层的内网渗透,因此企业不应把它当成“可等一等”的普通问题。
Rapid7在UTC 18日凌晨开始事件处置。其MDR团队捕捉到可疑的VPN身份验证行为:攻击者使用“非人类”的凭证登录本机账号。初步调查显示,多名客户环境遭到入侵,且攻击来源指向同一家主机代管供应商Vultr。进一步分析技术支持文件后,团队发现防火墙的云端身份认证服务(CAS)被停用,但GlobalProtect入口或网关启用了身份认证覆写cookie(authentication override cookies)。这让Rapid7推断,攻击者正是试图通过cookie相关机制去尝试利用CVE-2026-0257。
紧接着,Rapid7又在5月21日见到第二波攻击。此次来源看似来自另一家主机代管服务Dromatics Systems。不过更值得警惕的是,相关的MAC地址与上一轮高度一致,意味着很可能是同一伙人或同一套作战基础设施在持续推进。
在成功触发漏洞后,攻击者通过伪造cookie完成身份验证分配,进一步给受害环境下发VPN连接所需的IP地址,从而进入内网。Rapid7在10个受影响客户环境中观察到:8个客户的防火墙设备虽能接收cookie,但并未建立完整的VPN连接,表明并非每次尝试都能闭环成功,但“被打到现场”这一事实依旧足以敲响警钟。
对企业而言,这波事件的信号很清晰:当VPN边界系统与身份验证机制出现可被绕过的漏洞时,攻击者往往会快速验证并扩大影响范围。建议立即核查GlobalProtect相关配置、cookie覆写能力、以及是否存在异常认证活动与来自代管主机的可疑登录痕迹,并配合MDR/日志平台开展针对性溯源与加固。
