Palo Alto Warns of GlobalProtect VPN Vulnerability Actively Exploited in the Wild
2026/06/15 CyberSecurityNews — Palo Alto Networks Unit 42 が公表したのは、PAN-OS GlobalProtect のポータル/ゲートウェイ・コンポーネントに影響を及ぼす、深刻な認証バイパス脆弱性 CVE-2026-0257 の積極的な悪用に関する緊急の警告である。この脆弱性を悪用する未認証のリモート攻撃者は、セキュリティ制御を回避し、不正な VPN 接続を開始できる。
すでに米国の Cybersecurity and Infrastructure Security Agency (CISA) は、2026年5月29日の時点で CVE-2026-0257 を Known Exploited Vulnerabilities (KEV) カタログに追加している。それが示すのは、この脆弱性の深刻度と、実際の攻撃における悪用である。Unit 42 の研究者が確認したのは、GlobalProtect が有効化されたデバイスを積極的に探索する未特定の脅威アクターたちの行動である。
それらの攻撃者は、広範な標的に対する探索には成功したが、実際の VPN セッションが確立され、ゲートウェイ接続イベントを引き起こしたのは一部に限られている。現時点では、アクセス後の挙動/ラテラル・ムーブメント/データ流出は確認されていないが、危険な状態は継続している。
ユーザー組織に求められるのは、GlobalProtect ログ内で侵害インジケータ (IoC) を直ちに調査することである。列挙されたインジケータに、攻撃に関連するゲートウェイ接続成功イベントが確認された場合には、インシデント対応プロトコルを起動すべきである。
さらにユーザー組織は、Palo Alto Networks の公式セキュリティ・アドバイザリを直ちに確認し、利用可能な回避策の適用もしくは、修正済みの PAN-OS バージョンへアップグレードが必要となる。Rapid7 も、実際の攻撃で観測された、悪用活動に関する技術分析を公開している。
脅威ハンターは、以下の IP アドレスからの GlobalProtect ログイン成功接続を検索する必要がある。特に、2026年5月29日に公開された、PoC リリース以前のアクティビティに注意する必要がある。
IP アドレス・インジケータ
| IP Address | Context | Phase |
|---|---|---|
| 23.128.228[.]6 | Malicious source IP | Pre-PoC (before May 29, 2026) |
| 104.207.144[.]154 | Malicious source IP | Pre-PoC (before May 29, 2026) |
| 146.19.216[.]119 | Malicious source IP | Pre-PoC (before May 29, 2026) |
| 146.19.216[.]120 | Malicious source IP | Pre-PoC (before May 29, 2026) |
| 146.19.216[.]125 | Malicious source IP | Pre-PoC (before May 29, 2026) |
| 179.43.172[.]213 | Malicious source IP | Pre-PoC (before May 29, 2026) |
| 185.195.232[.]139 | Malicious source IP | Pre-PoC (before May 29, 2026) |
| 198.12.106[.]60 | Malicious source IP | Pre-PoC (before May 29, 2026) |
| 202.144.192[.]47 | Malicious source IP | Pre-PoC (before May 29, 2026) |
ホストベース・インジケータ
| Indicator | Type | Context |
|---|---|---|
| aa:bb:cc:dd:ee:ff | MAC Address | Suspicious device identifier in GlobalProtect logs |
| 00:11:22:33:44:55 | MAC Address | Suspicious device identifier in GlobalProtect logs |
| WINDOWS-LAPTOP-001 | Hostname | Suspicious host ID in GlobalProtect logs |
| DESKTOP-GP01 | Hostname | Suspicious host ID in GlobalProtect logs |
| GP-CLIENT | Hostname | Suspicious host ID in GlobalProtect logs |
PoC 公開後のハードコードされたクライアント・コンフィグのインジケータ
| Field | Value | Context |
|---|---|---|
| endpoint_os_version | Microsoft Windows 10 Pro 64-bit | Hard-coded in PoC exploit code |
| source_user_info.domain | (empty) | Hard-coded in PoC exploit code |
訳者後書:Palo Alto Networksの製品に存在する、深刻な脆弱性 CVE-2026-0257 が積極的に悪用されています。多くの組織の境界防御として利用されている PAN-OS GlobalProtect ポータル/ゲートウェイコンポーネントに、深刻な認証バイパスの欠陥が存在しています。この不備を突く未認証のリモート攻撃者が、セキュリティ制御を回避し、不正な VPN 接続を開始する可能性があります。ご利用のチームは、ご注意ください。よろしければ、CVE-2026-0257 での検索結果も、ご参照ください。
IoT OT Security News 
You must be logged in to post a comment.