パロアルトネットワークスのファイアウォールの重大なセキュリティ上の欠陥が現在、活発な攻撃を受けています。ハッカーは偽造した認証 Cookie を使用してセキュリティ制御を回避し、VPN セッションにアクセスしています彼らは入る許可を一度も得ていませんでした.
CVE-2026-0257 として追跡されるこの脆弱性は、PAN-OS に組み込まれているパロアルトのリモート アクセス VPN ソリューションである GlobalProtect に影響を与えます。パロアルトは 5 月 13 日にこの情報を公開しました。攻撃者は数日以内にこれに反対しました。
偽造 Cookie により、複数の被害者にわたる VPN アクセスのロックが解除される
セキュリティ会社 Rapid7 は攻撃を早期に発見しました。 Rapid7 によると、攻撃者は複数の顧客環境にわたるファイアウォールに偽造した認証 Cookie を送信し、影響を受けた Managed Detection and Response (MDR) 顧客の 10 社中 8 社で、アプライアンスは完全な VPN セッションを確立せずにそれらの Cookie を受け入れました。これは、資格情報の偽造操作に相当するものの高い成功率です。
同社は、侵害されたデバイスからの横方向の動きは確認されていません。攻撃者は侵入を果たしましたが、まだネットワークの奥深くまで侵入していません。
CVE-2026-0257 は、パロアルト ファイアウォールが Cookie ベースの認証を処理する方法のギャップを悪用します。ファイアウォールは、徹底した検証や整合性チェックを実行せずに Cookie を受け入れます。このギャップにより、リモートの認証されていない攻撃者がセキュリティ制限を回避し、不正な VPN 接続を確立できるようになります。
パロアルトネットワークスによると、この問題は、特定の証明書構成とともに、認証オーバーライド Cookie が有効になっている GlobalProtect ポータルまたはゲートウェイを実行しているファイアウォールを特にターゲットにしています。この脆弱性は、PAN-OS を実行している物理ファイアウォールと仮想ファイアウォールの両方に加え、パロアルトのファイアウォール機能のクラウド配信バージョンである Prisma Access も対象としています。
実際の攻撃の仕組み
認証オーバーライド機能は、便利なツールとして開始されました。すでに検証済みのユーザーに Cookie を発行するため、ユーザーは新しい接続のたびに資格情報を再入力する必要がありません。証明書の設定が間違っていると、その利便性が失われてしまいます。
Rapid7 はメカニズムを破壊しました。認証オーバーライド Cookie を処理する証明書が、ポータルの HTTPS サービスを動作させる証明書と同じである場合、攻撃者はその HTTPS サービスに接続するだけで公開キーを取得できます。
このキーは、有効な認証オーバーライド Cookie を作成するために必要なものを提供します。その後、サーバーは Cookie を復号化し、署名検証を実行せずにその内容を信頼します。
二度目のチェックはありません。警告はありません。ファイアウォールは接続を受け入れます。
Rapid7 は、2 つの別々の攻撃波を記録しました。1 回目は 2026 年 5 月 17 日、2 回目は 5 月 21 日でした。どちらの攻撃も、一貫したスプーフィングされた MAC アドレスを運びました。 Rapid7 によると、共有された詳細は、両方の操作を実行している単一の攻撃者を強く示しています。
Rapid7 はその後、セキュリティ チームがアプライアンスが依然として公開されているかどうかをテストするために使用できる概念実証スクリプトとともに侵害の兆候を公開しました。
CISAが期限間近に介入
米国サイバーセキュリティ・インフラストラクチャセキュリティ庁 (CISA) は、悪用された既知の脆弱性カタログに CVE-2026-0257 を追加しました。同庁はすべての米連邦文民機関に対し、2026年6月1日までに欠陥を修正するよう命令し、今日が施行期限となった。
証明書関連の侵害に対する監視はますます厳しくなっています。DigiCert の侵害そして、コード署名証明書の盗難は、証明書インフラストラクチャの脆弱性が広範囲にわたる影響を与える可能性があることを浮き彫りにしています。
パッチ適用バージョンにアップグレードしていないパロアルトのお客様は、今すぐ行動する必要があります。 3 つの修復パスが存在します。 1 つ目は、修正された PAN-OS バージョンに直ちにアップグレードすることです。
2 つ目は、認証オーバーライド機能を完全に無効にすることです。 3 つ目は、HTTPS ポータルに提供される証明書とは完全に分離された、認証オーバーライド専用の新しい専用証明書を生成することです。
各オプションは、ハッカーが現在使用している特定の攻撃パスを遮断します。特に大規模な悪用が確認された後、システムにパッチを適用しないまま放置することは、組織が受け入れるべきではないリスクです。
この状況のスピード自体は注目に値する。パロアルトは 5 月 13 日にこの脆弱性を公表しました。攻撃者はそのわずか 4 日後に第 1 波を開始しました。開示と積極的な悪用との間のギャップは縮小し続けています。セキュリティ チームには、パッチ サイクルを定期的なメンテナンスとして扱う余裕はもうありません。