文章总结： CVE-2026-0257是PaloAltoPAN-OSGlobalProtect组件中的一个高危身份验证绕过漏洞，源于其认证覆盖cookie功能缺少签名完整性校验。该漏洞允许攻击者伪造任意身份（包括本地管理员）的认证cookie，从而绕过认证并接入内网。文章分析了该漏洞的机制、影响版本，并还原了两波真实世界攻击：第一波为广度探测，第二波则成功建立VPN会话。威胁行为体画像显示其技术能力中等偏上，运营能力中等，目标呈现广撒网式扫描，可能为商业入侵或初始访问获取。防御建议包括紧急升级补丁、关闭认证覆盖功能或隔离证书，并提供了威胁狩猎规则和IOC指标以助于检测与响应。 综合评分： 90 文章分类： 威胁情报,漏洞分析,渗透测试,应急响应,web安全

4天内两波入侵：PAN-OS GlobalProtect认证绕过漏洞（CVE-2026-0257）利用攻击剖析

原创

威胁情报中心 威胁情报中心

奇安信威胁情报中心

2026年6月3日 09:40 北京

在小说阅读器读本章

去阅读

核心判断

CVE-2026-0257 是 PAN-OS GlobalProtect 组件中一处高危身份验证绕过漏洞，源于”认证覆盖”Cookie 功能缺少签名完整性校验。截至 2026 年 5 月底，Rapid7 MDR 团队已确认两波真实世界攻击。CISA 于 5 月 29 日将其纳入 KEV 目录。

#

漏洞机制：解密后零校验的”信任陷阱”

根因定位

CVE-2026-0257 被归类为 CWE-565（依赖 Cookie 缺乏验证与完整性检查），根因在于 GlobalProtect “认证覆盖”功能的设计缺陷。该功能为已认证用户签发加密 Cookie，实现免重新输入凭据的自动重连（机制类似 Bearer Token）。根据 Rapid7 逆向分析，main_DecryptAppAuthCookie 函数的处理流程如下：

Cookie 接收 → Base64 解码 → RSA 解密 → 直接信任载荷内容（无 HMAC/签名校验）

解密完成后，PAN-OS 进程未对载荷进行任何签名验证，即判定 Cookie 合法。这意味着任何持有加密公钥的攻击者均可伪造任意身份（含本地管理员账户）的认证 Cookie。

利用前提

漏洞触发需要同时满足两个条件：

1. GlobalProtect Portal 或 Gateway 启用了认证覆盖 Cookie 功能（默认在部分配置中开启）；
2. 用于 Cookie 加密的证书为共享证书（与 HTTPS 服务证书或其他功能共用），而非专用隔离证书。

由于 HTTPS 服务证书可被任何访问 Gateway 的用户公开获取，攻击者只需抓取证书、提取公钥，即可本地铸造合法 Cookie。

影响版本

| 产品 | 受影响版本 | 修复版本 | | — | — | — | | PAN-OS 12.1 | < 12.1.4-h6 / < 12.1.7 | ≥ 12.1.4-h6 / ≥ 12.1.7 | | PAN-OS 11.2 | < 11.2.4-h17 / < 11.2.12 | ≥ 11.2.4-h17 / ≥ 11.2.12 | | PAN-OS 11.1 | < 11.1.4-h33 / < 11.1.15 | ≥ 11.1.4-h33 / ≥ 11.1.15 | | PAN-OS 10.2 | < 10.2.7-h34 / < 10.2.18-h6 | ≥ 10.2.7-h34 / ≥ 10.2.18-h6 | | Prisma Access 11.2.0 | < 11.2.7-h13 | ≥ 11.2.7-h13 | | Prisma Access 10.2.0 | < 10.2.10-h36 | ≥ 10.2.10-h36 |

Panorama 和 Cloud NGFW 不受影响。

两波攻击链还原

攻击时间线

5月13日  Palo Alto 发布初始公告5月17日  Rapid7 首次捕获到野利用行为（公告后4天）5月18日  第一波攻击：针对本地管理员账户的可疑 Cookie 认证5月21日  第二波攻击：成功建立 VPN 会话并接入内网5月29日  CISA 将漏洞纳入 KEV 目录，联邦机构修复期限 6月1日

第一波：广度探测（5月18日）

• 来源 IP：104.207.144.154（Vultr 基础设施，AS20473 – The Constant Company, LLC，位于美国佛罗里达州迈阿密）
• 主机名：GP-CLIENT（Linux）
• 行为特征：对多个客户环境中的本地管理员账户发起可疑 Cookie 认证尝试
• 结果：在 10 家受影响的 MDR 客户中，有 8 家观察到伪造 Cookie 认证成功，但未建立完整 VPN 会话，表明攻击者处于横向移动就绪度探测阶段

根据奇安信威胁情报查询结果，104.207.144.154 此前已被标记为 SCANNER 类型恶意活动（2022-07-29 首次发现 HTTP 扫描行为），归属 Vultr Holdings, LLC。该 IP 同时出现在 CVE-2026-0249/0250/0251/0256/0257/0258/0261/0262/0263/0264 的关联报告中，这一 CVE 集群模式表明该基础设施可能被用于针对 2026 年同期披露的多个 PAN-OS/边缘设备漏洞的协同扫描活动，攻击者的目标覆盖面较广，并非单一漏洞的孤立利用。

第二波：纵深突破（5月21日）

• 来源 IP：146.19.216.119 / 146.19.216.120 / 146.19.216.125（Dromatics Systems 基础设施，连续 C 段）
• 主机名：DESKTOP-GP01（Windows 10）
• 行为特征：成功获取 VPN IP 分配，直接接入目标内网
• 升级因素：攻击工具栈从 Linux 切换至 Windows 10，主机名命名模式更趋仿真（”DESKTOP-GP01″模仿企业终端命名规范）

行为体关联证据

两波攻击中均观察到完全一致的伪造 MAC 地址 aa:bb:cc:dd:ee:ff，这是同一行为体跨活动运营的强关联证据。此外：

• 基础设施提供商不同（Vultr → Dromatics Systems），说明行为体具备多供应商跳板切换能力；
• 攻击主机操作系统从 Linux 切换为 Windows 10，说明行为体在第二轮中使用了更适合内网操作的工具环境；
• 两波间隔仅 3 天，攻击节奏紧凑，行为体在第一波探测成功后迅速升级至实际入侵阶段。

威胁行为体画像与归因分析

基础设施特征

| 维度 | 第一波 | 第二波 | | — | — | — | | 托管商 | Vultr（AS20473） | Dromatics Systems | | 地理位置 | 美国佛罗里达州迈阿密 | 未公开 | | IP 段 | 单 IP | 连续 C 段（/24 内 3 个 IP） | | 已知标签 | 历史 SCANNER 活动（2022 年起） | 无历史标记 |

归因判断

当前证据不足以指向特定 APT 组织，但以下特征可缩小归属范围：

倾向于金融犯罪/勒索前活动，而非定向间谍：

• 目标为跨行业 GlobalProtect 部署（政府、金融、企业均受影响），呈广撒网式扫描；
• 攻击者在第一波仅完成 Cookie 伪造但未建立会话，表现出对受害目标的”筛选”行为，符合勒索软件初始访问经纪人（IAB）的典型操作模式——批量攻陷后筛选高价值目标出售访问权；
• 未观察到 APT 组织常见的数据外传、定向 C2 回连或持久化植入行为。

不排除商业间谍活动：

• GlobalProtect 部署集中于中大型企业的远程办公边界，VPN 接入是获取内部网络入口的高价值路径；
• 第二波成功建立 VPN 会话后，攻击者已具备直接进行内网横向移动的条件，后续行为需持续监控。

与特定 APT 组织的关联存疑：

• 104.207.144.154 出现的 CVE 集群（0249–0264）涉及 10 余个漏洞编号，这一异常集中的关联模式可能指向漏洞武器化服务提供商或自动化扫描框架的运营者；
• 需要更多轮次的攻击活动和专属 C2 基础设施暴露才能进一步归因。

能力评级

• 技术能力：中等偏上。攻击者能快速将公开 POC 适配为实际利用工具，并在 3 天内完成从探测到突破的能力升级。
• 运营能力：中等。基础设施切换及时，但伪造 MAC 地址一致、主机名模式简单（GP-CLIENT/DESKTOP-GP01）暴露了操作粗放的一面。
• 意图判断：中等置信度判断为商业入侵/初始访问获取，而非定向高级持续威胁。

#

MITRE ATT&CK 技术映射

| 阶段 | 技术编号 | 技术名称 | 具体行为 | | — | — | — | — | | 初始访问 | T1190 | 利用面向公众的应用程序 | 利用 GlobalProtect 认证绕过漏洞伪造 Cookie | | 初始访问 | T1078.001 | 默认账户 | 以本地管理员账户身份登录 | | 防御绕过 | T1556 | 修改认证流程 | 通过伪造加密 Cookie 绕过认证 | | 凭证访问 | T1606 | 伪造 Web 凭证 | 利用公开 HTTPS 证书公钥伪造认证 Cookie | | 横向移动 | T1021 | 远程服务 | 通过 VPN 会话接入内网 | | 侦察 | T1018 | 远程系统发现 | 8/10 客户环境中仅完成认证未建会话，疑似探测就绪度 | | 持久化 | T1543 | 创建/修改系统服务 | （需监控 VPN 会话建立后的后续行为） | | 凭据访问 | T1003 | OS 凭据转储 | （典型 VPN 入侵后的内网操作） |

#

威胁狩猎与防御建议

紧急处置

1. 补丁升级：升级至各分支的修复版本（见第一部分表格）；
2. 关闭认证覆盖功能：在 Network > GlobalProtect > Gateways > Agent 中，取消勾选”Generate cookie for authentication override”和”Accept cookie for authentication override”；
3. 证书隔离：若无法关闭功能，立即生成专用证书仅用于认证覆盖 Cookie，禁止与 HTTPS 服务证书共用。

威胁狩猎规则

• GlobalProtect 日志：检索来源 IP 为 104.207.144.154、146.19.216.119/120/125 的认证记录；
• MAC 地址匹配：在 VPN 认证日志中检索 MAC 地址 aa:bb:cc:dd:ee:ff；
• 主机名异常：检索主机名为 GP-CLIENT、DESKTOP-GP01 的 VPN 客户端会话；
• 不可能旅行检测：结合认证时间戳和源 IP 地理位置，检测单用户短时间内的跨地理跳跃。

入侵后检测

VPN 会话建立后，攻击者的典型后续操作包括：

• Kerberos 认证异常（AS-REP Roasting、Kerberoasting）；
• LDAP 枚举（S-1-1-11 等高权限容器查询）；
• 横向移动（SMB/RDP/WMI 跨主机行为）；
• 新服务创建与计划任务植入。

补丁后注意事项

升级后 GlobalProtect 用户需重新认证一次（Cookie 将以更安全方式重新生成），管理员应提前通知 Helpdesk 团队。

IOC 汇总

| 类型 | 指标 | 描述 | | — | — | — | | IP | 104.207.144.154 | 第一波攻击源 IP（Vultr，迈阿密），历史 SCANNER 标记，关联 CVE-2026-0249~0264 集群 | | IP | 146.19.216.119 | 第二波攻击源 IP（Dromatics Systems） | | IP | 146.19.216.120 | 第二波攻击源 IP（Dromatics Systems） | | IP | 146.19.216.125 | 第二波攻击源 IP（Dromatics Systems） | | MAC | aa:bb:cc:dd:ee:ff | 两波攻击中一致的伪造 MAC 地址 | | 主机名 | GP-CLIENT | 第一波（Linux） | | 主机名 | DESKTOP-GP01 | 第二波（Windows 10） | | CVE | CVE-2026-0257 | 认证绕过漏洞，CVSSv4 7.8 | | CVE | CVE-2026-0300 | 同月披露的 PAN-OS 缓冲区溢出漏洞，CVSS 9.3 |

#

参考来源

• https://thecybrdef.com/palo-alto-pan-os-auth-bypass-cve-2026-0257-under-active-attack/
• [QAX-TI-MCP] 奇安信威胁情报中心 – 104.207.144.154 IP 画像数据
• CISA Known Exploited Vulnerabilities Catalog（CVE-2026-0257，纳入日期 2026-05-29）
• Palo Alto Networks 官方安全公告（CVE-2026-0257）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：奇安信威胁情报中心 威胁情报中心 威胁情报中心《4天内两波入侵：PAN-OS GlobalProtect认证绕过漏洞（CVE-2026-0257）利用攻击剖析》