VPN漏洞正被利用：廠商稱有限，安全公司警告嚴重

“一個CVSS 7.8分的漏洞，能讓未授權(quán)的用戶直接搭起VPN隧道——你認為它嚴重嗎？”5月29日，Palo Alto Networks更新了一份安全公告，確認編號CVE-2026-0257的身份驗證繞過漏洞正在野外遭到利用。同一時間，Rapid7公開發(fā)聲，稱已在多家客戶處檢測到成功的攻擊行為，最早可以追溯到5月17日。一邊是廠商語氣審慎的“有限利用嘗試”，另一邊是安全廠商毫不避諱的“影響巨大”，一個中等嚴重性的邊界設(shè)備漏洞，正在把企業(yè)內(nèi)網(wǎng)的安全感撕開一道口子。

漏洞源于Palo Alto Networks的PAN-OS操作系統(tǒng)及其Prisma Access服務(wù)。根據(jù)5月13日首次發(fā)布的公告，當(dāng)防火墻上的GlobalProtect門戶或網(wǎng)關(guān)同時啟用“身份驗證覆蓋cookie”功能且存在特定證書配置時，攻擊者可以繞過安全限制，建立未經(jīng)授權(quán)的VPN連接。這種繞過意味著攻擊者不需要拿到有效的用戶名和密碼，就能偽裝成合法用戶接入內(nèi)部網(wǎng)絡(luò)。CVE-2026-0257的CVSS評分7.8分，屬于“高危”級別，但在漏洞披露初期，關(guān)注度遠不及那些逼近滿分的遠程執(zhí)行漏洞。

直到5月29日，Palo Alto Networks在更新中承認，已發(fā)現(xiàn)未打補丁且未應(yīng)用緩解措施的PAN-OS設(shè)備遭遇了“有限的攻擊嘗試”。這句話里的“有限”二字，與Rapid7隨后公布的調(diào)查結(jié)果形成了鮮明反差。Rapid7表示，他們已經(jīng)確認在多個客戶環(huán)境中成功利用了該漏洞，且攻擊分為兩輪：第一輪出現(xiàn)在5月17日，第二輪在5月21日。兩輪活動被歸因給同一個威脅行為者。第二輪攻擊中，Rapid7觀察到至少兩起案例，攻擊者在通過cookie認證后獲取了VPN IP地址，直接進入了內(nèi)網(wǎng)。雖然Rapid7補充說，在建立VPN會話的客戶環(huán)境里并未發(fā)現(xiàn)更進一步的橫向移動或數(shù)據(jù)外傳動作，但那條已經(jīng)打通的VPN通道，依然讓人無法掉以輕心。

供應(yīng)商與外部研究機構(gòu)之間的表述差異，聚焦了一個老問題：漏洞的實際風(fēng)險，到底該由誰定義？Palo Alto Networks的“有限利用嘗試”側(cè)重于攻擊規(guī)模小、未觀測到后續(xù)破壞；Rapid7的“影響重大”則著眼于攻擊類型本身——一個面向互聯(lián)網(wǎng)的企業(yè)VPN設(shè)備的身份驗證繞過，可以在任何人察覺之前把攻擊者直接送進內(nèi)網(wǎng)。Rapid7在報告中直言：“邊緣VPN設(shè)備的認證繞過可能對受影響的組織產(chǎn)生重大影響。”基于這一點，他們敦促運行受影響設(shè)備的組織立刻升級到廠商提供的補丁。這句話沒有附加“有限”或“試圖”這類限定詞，緊迫感拉滿。

面對已經(jīng)開始的利用活動，Palo Alto Networks給出了兩條臨時緩解路徑：要么禁用身份驗證覆蓋功能，切斷漏洞利用的條件；要么生成一張新證書專門用于該功能，讓舊證書失效。但臨時措施終究不是長久之計，官方補丁才是徹底阻斷漏洞的解法。而現(xiàn)實常常是，補丁發(fā)布與攻擊嘗試之間的時間窗口正在不斷收窄：從5月13日漏洞公告，到5月17日首次探測到利用，中間只隔了四天。對于擁有大量邊界設(shè)備的企業(yè)來說，四天可能還不夠一次變更審批。

此次事件并非孤立。就在差不多的時間段，安全廠商Arctic Wolf報告了另一起針對FortiClient端點管理服務(wù)器（EMS）漏洞（CVE-2026-35616，CVSS 9.1）的持續(xù)利用，攻擊者借助該漏洞投遞名為EKZ Infostealer的竊密木馬。一個7.8分的PAN-OS漏洞被用于搭建VPN隧道，一個9.1分的FortiClient漏洞被用于竊取憑證，兩條攻擊鏈共同指向一個事實：邊界設(shè)備的身份認證控制，正成為攻擊者重點敲鑿的磚墻。當(dāng)圍繞“有限”還是“重大”的詞匯之爭還未停止時，內(nèi)網(wǎng)的訪問權(quán)限也許已經(jīng)被寫在某個威脅行為者的會話日志里。