### CVE-2026-0257: PAN-OSにおける認証バイパス **CVE-2026-0257**（CVSSスコア: 7.8）として追跡されているこの脆弱性は、悪意のある攻撃者がVPN接続を確立するために悪用できる認証バイパスを伴います。**Palo Alto Networks**によると、この問題は、認証オーバーライドCookieが有効になっており、特定の証明書構成が存在する場合に、GlobalProtectポータルまたはゲートウェイが構成されたファイアウォールに影響します。 同社は2026年5月13日に公開されたアドバイザリで、「Palo Alto Networks PAN-OS®ソフトウェアのGlobalProtectポータルおよびゲートウェイにおける認証バイパス脆弱性により、攻撃者はセキュリティ制限をバイパスして不正なVPN接続を確立できます」と述べています。 ### 実際の悪用事例 2026年5月29日のアップデートで、**Palo Alto Networks**は「緩和策が適用されていない、パッチ未適用のPAN-OSデバイスに対する限定的なエクスプロイトの試み」を認めました。 これは、**Rapid7**からの報告に続くもので、同社は多数の顧客でエクスプロイトが成功したことを確認しており、最も早い試みは2026年5月17日に遡り、その後5月21日に次の波が発生しました。**Rapid7**は、両方のエクスプロイトセットを同じ脅威アクターに帰属させています。 活動の第二波には、Cookie認証後のVPN IP割り当てが含まれており、2つの事例で攻撃者に内部ネットワークへのアクセスを許可しました。VPNセッションが確立された顧客環境では、その後の活動は観察されていません。 ### Rapid7の評価 **Rapid7**は、「エッジに面したエンタープライズVPNアプライアンスにおける認証バイパスは、影響を受ける組織に重大な影響を与える可能性があります」と警告しています。「そのため、影響を受けるアプライアンスを実行している組織は、ベンダー提供のパッチに緊急でアップグレードすることを強く推奨します。」 ### 緩和策 一時的な緩和策として、**Palo Alto Networks**は認証オーバーライド機能の無効化、または認証オーバーライド機能専用の新しい証明書の生成を推奨しています。 ### FortiClient EMSのエクスプロイト **CVE-2026-0257**のエクスプロイトは、**Arctic Wolf**による、**FortiClient** Endpoint Management Server（EMS）デプロイメントにおける重大なセキュリティ脆弱性（**CVE-2026-35616**、CVSSスコア: 9.1）の継続的な武器化に関する報告に続いています。脅威アクターは、この脆弱性を悪用して、EKZ Infostealerとして知られる認証情報窃盗マルウェアを配信しています。