Palo Alto PAN-OS Authentication Bypass Vulnerability Actively Exploited in the Wild
2026/05/30 gbhackers — Palo Alto Networks の PAN-OS および Prisma Access に影響する認証バイパスの深刻な脆弱性が、現実の攻撃において活発に悪用されている。この状況を受け、2026年5月29日に米国の Cybersecurity and Infrastructure Security Agency (CISA) が、脆弱性 CVE-2026-0257 を Known Exploited Vulnerabilities (KEV) カタログに追加した。
この脆弱性の CVSSv4 スコアは Medium であるが、ユーザー組織に対して Rapid7 の研究者が警告するのは、この脆弱性への対応を最優先事項として位置づけるべきという点である。
これに先立ち、2026年5月13日の時点で Palo Alto Networks は、脆弱性 CVE-2026-0257 を公表している。この脆弱性を悪用する、未認証のリモート攻撃者は、認証オーバーライド Cookie を偽造し、GlobalProtect ゲートウェイ経由で、未認可の VPN 接続を確立することが可能となる。
この欠陥は、認証済みユーザーにセッション Cookie を発行して再ログインを不要にする、非デフォルト機能である “authentication override” に存在する。特に Cookie の暗号化に使用される証明書が、ポータルの HTTPS サービスなどの他サービスと共有されている場合に、この脆弱性の悪用が可能となる。
/usr/local/bin/gpsvc バイナリの復号処理において署名検証が実施されないため、公開されている HTTPS 証明書から公開鍵を取得した攻撃者は、それを悪用するだけで、有効な Cookie を偽造し、認証を完全に回避できる。
Rapid7 の調査によると、この脆弱性の最初の悪用は、2026年5月17日に確認されている。この初期段階において攻撃者は、複数の顧客環境に存在するローカル管理者アカウントに対して、不審な Cookie ベース認証リクエストを送信していた。
悪意のトラフィックは、Vultr 上でホストされている IP アドレスから発信されていたが、その際に攻撃者は、“GP-CLIENT” というマシン名と偽装された MAC アドレスを使用することで、正規の端末を装っていた。
2026年5月21日には、Dromatics Systems のインフラを起点とする、第 2波の攻撃が開始された。 この段階で脅威アクターは、“DESKTOP-GP01” というマシン名を使用し、一部の侵害環境において完全な VPN IP アドレスの割り当てを取得することに成功した。その結果、内部ネットワークへの直接アクセスを獲得している。
両キャンペーンで、同一の偽装 MAC アドレスが継続して使用されていたことは、単一の脅威アクターが一連の攻撃を実行した可能性を強く示している。その一方で、影響を受けた Rapid7 MDR の顧客 10 社のうち 8 社では、完全な VPN セッションの確立には至らず、認証プローブまたは認証試行のみが確認されるに留まった。
侵害指標 (IoC)
| Indicator | Description |
|---|---|
| 104.207.144[.]154 | Threat actor source IP (Wave 1, Vultr) |
| 146.19.216[.]119 / .120 / .125 | Threat actor source IPs (Wave 2, Dromatics) |
| aa:bb:cc:dd:ee:ff | Spoofed MAC address observed in both waves |
| GP-CLIENT | Machine name, Linux authentication, May 17 |
| DESKTOP-GP01 | Machine name, Windows authentication, May 21 |
注:IP アドレスおよびドメインは、誤って名前解決またはハイパーリンクされることを防ぐため、意図的に匿名化されている (例:[.] )。元の情報の復元は、MISP/VirusTotal/SIEM など管理された脅威インテリジェンス基盤内でのみ実施すべきである。
管理者にとって必要なことは、影響を受ける PAN-OS および Prisma Access を直ちに修正済みバージョンへとアップグレードし、ネットワーク侵害を防ぐことだ。
この問題を修正した PAN-OS バージョンには、12.1.4-h6/12.1.7/11.2.12/11.1.15/10.2.18-h6 が含まれる。その他にも、Prisma Access バージョン 11.2.0 を利用している環境は 11.2.7-h13 以降へ、バージョン 10.2.0 を利用している環境は 10.2.10-h36 以降へと、アップグレードする必要がある。
対策
緩和策として、運用上の要件として必須でない場合には、”authentication override” 機能を無効化し、この脅威から環境を保護することが推奨される。
この機能を継続的に利用する必要がある場合は、認証オーバーライド Cookie の暗号化専用となる新しい証明書を生成し、その証明書を HTTPS サービスなどのネットワーク機能と共有しないようにする必要がある。
ユーザー組織に対して強く推奨されるのは、VPN および GlobalProtect のすべての認証ログに対して、提供された IoC を用いた脅威ハンティングを実施することだ。最終的な防御策として SOC にとって必要なことは、ローカル管理者アカウントを標的とする不審な GlobalProtect Cookie 認証試行を監視/検知するためのルールを導入することである。
訳者後書:この脆弱性 CVE-2026-0257 は、本来は便利であるはずの再ログイン省略機能において、認証情報を守る仕組みが不十分だったことに起因します。具体的には、Cookie の暗号化に使われる証明書が他サービスと使い回されていたこと、そして受け取ったデータの正しさを確認する署名検証が行われていなかったことで、攻撃者が鍵を容易に取得し、偽の Cookie を作成できる状態にありました。ご利用のチームは、ご注意ください。よろしければ、Palo Alto での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.