概要
Palo Alto Networksは5月13日、PAN-OSのGlobalProtectポータルおよびゲートウェイに存在する認証バイパス脆弱性CVE-2026-0257(CVSS 7.8)を公開した。この脆弱性が悪用されると、攻撃者は正規の認証情報を持たずにVPN接続を確立できる状態となる。その後、5月29日には未パッチのシステムへの限定的な悪用が公式に確認され、米国CISAは同脆弱性をKnown Exploited Vulnerabilities(KEV)カタログに追加。連邦機関に対して2026年6月1日までの対応を義務付けた。
脆弱性の仕組みと悪用手法
この脆弱性は、GlobalProtectが使用する「認証上書きクッキー(Authentication Override Cookie)」機能の設計上の欠陥に起因する。攻撃者は対象デバイスのHTTPSサービスと同一の証明書が使われている環境において、公開証明書から公開鍵を取得し、任意のユーザー向けに偽造クッキーを生成することで、認証を回避してVPN接続を確立できる。影響を受けるのは、認証上書きクッキーが有効かつHTTPSサービスと証明書を共有する設定のGlobalProtectデバイスに限定される。
セキュリティ企業Rapid7は5月17日以降、複数の顧客環境でこの脆弱性の悪用を確認した。初期の攻撃はVultrのインフラを踏み台として行われ、5月21日にはDromatics Systemsを経由した第二波の攻撃も観測されている。一部のケースでは、偽造クッキーによる認証後にVIPアドレスが割り当てられ、内部ネットワークへのアクセスが確立されたことも報告されている。
推奨される対応策
Palo Alto Networksは以下の対策を推奨している。
- 最新のセキュリティアップデートを即時適用する
- 即時パッチ適用が困難な場合は、認証上書きクッキー機能を無効化する
- 認証上書き用に、HTTPSサービスとは独立した専用証明書を新規生成する
CISAのKEVカタログへの追加により、米国の連邦機関は法的義務として2026年6月1日までの対応が求められる。民間企業においても、GlobalProtectを使用している組織は早急にパッチ適用状況を確認し、上記の緩和策を適用することが強く推奨される。