Palo Alto Networksのセキュリティ製品であるPAN-OSのGlobalProtectコンポーネントに、認証バイパスの深刻な脆弱性(CVE-2026-0257)が発見され、活発な悪用が確認されています。本脆弱性は、攻撃者が認証を迂回して不正なVPN接続を確立し、保護されたネットワークへ侵入する可能性を秘めています。CISAは本脆弱性をKnown Exploited Vulnerabilitiesカタログに追加し、緊急の対応を促しています。
脆弱性の概要と影響範囲
CVE-2026-0257は、Palo Alto Networks PAN-OSのGlobalProtectポータルおよびゲートウェイコンポーネントにおける認証バイパスの脆弱性です。特に、認証オーバーライドクッキーが有効で、かつ特定の証明書設定が存在する環境が影響を受けます。攻撃者は認証なしにリモートから本脆弱性を悪用し、不正なVPNセッションを確立することが可能です。PanoramaおよびCloud NGFWの展開は影響を受けません。
具体的な影響・攻撃シナリオ
攻撃者は、細工された認証オーバーライドクッキーを利用することで、正当な認証情報なしにVPN接続を確立できます。これにより、企業の内部ネットワークへの不正アクセスが可能となり、機密情報の窃取、システムの改ざん、さらにはランサムウェア感染といった重大な被害につながる恐れがあります。Rapid7は、5月17日以降、複数の顧客環境で本脆弱性の悪用を観測しており、特に設定ミスによりHTTPSサービスとクッキー暗号化機能で同一の証明書が使用されている場合に、攻撃者は公開鍵からクッキーを偽造できると指摘しています。
エンジニアが今すぐ取るべき対策
Palo Alto Networksは既に修正パッチを公開しており、速やかに適用することが最優先です。パッチ適用が困難な場合は、以下の緩和策を実施してください。特に、Webサーバーやリバースプロキシ(Nginx等)を使用してGlobalProtectのインターフェースへのアクセスを制限することは、多層防御の一環として有効です。
1. **修正パッチの適用**: Palo Alto Networksが提供する修正済みPAN-OSリリースに可能な限り速やかにアップデートしてください。
2. **認証オーバーライド機能の無効化**: 必要でない限り、GlobalProtectポータルおよびゲートウェイの認証オーバーライド機能を無効にしてください。
3. **専用証明書の使用**: 認証オーバーライド機能を使用する必要がある場合は、GlobalProtectポータル/ゲートウェイの証明書とは異なる、専用の証明書を生成して使用してください。
4. **多要素認証(MFA)の強制**: すべてのGlobalProtectユーザーに対して多要素認証を強制し、不正なセッションからのさらなるアクセスを制限します。
5. **アクセス制限の強化**: GlobalProtectポータルおよびゲートウェイインターフェースへのアクセスを、信頼できるクライアントネットワークのみに制限します。以下はNginxで特定のIPアドレスからのアクセスを許可する設定例です。
location /global-protect {
# 許可するIPアドレスまたはCIDR範囲
allow 192.168.1.0/24;
allow 203.0.113.42;
# それ以外のアクセスを拒否
deny all;
# GlobalProtectのエンドポイントへのリバースプロキシ設定など
proxy_pass https://your-globalprotect-endpoint.com;
# その他のproxy_set_headerなどの設定
}