はじめに
2026 年 5 月 14 日、Palo Alto Networks より PAN-OS の Cloud Authentication Service (CAS) を有効化した環境に存在する認証バイパス脆弱性 CVE-2026-0265 が公開されました。Severity は HIGH(CVSS 7.2)、緊急度(Urgency)は HIGHEST に分類されており、CAS の認証プロファイルが管理 IF や GlobalProtect、Authentication Portal などのログイン IF に紐付いている環境では、未認証の攻撃者が認証コントロールをバイパスし得る深刻な内容です。
本脆弱性は、わずか 1 週間前の 5 月 6 日に公開された CVE-2026-0300(User-ID Authentication Portal の BoF)と修正版バージョン表が完全に一致しており、両 CVE は同一の修正リリースで一括して対処できる運用上の関連性を持ちます。PAN-OS を運用する環境では、本記事を CVE-2026-0300 と併せて扱うことで、5 月公開の管理 IF 系脆弱性 2 件を一括した運用判断につなげられます。
本記事では、CVE-2026-0265 の技術的な概要、Cloud Authentication Service (CAS) の役割、影響を受ける PAN-OS バージョン、自社環境が脆弱な構成に該当するかどうかの確認手順、そして緩和策(SAML / RADIUS への切替、Threat ID 510008 による IPS ブロック、管理 IF のアクセス元 IP 制限)と恒久対処までを実務目線で整理します。
- CVE-2026-0265 の技術的な概要と CVSS の状況別評価(HIGHEST / MEDIUM / LOW の使い分け)
- Cloud Authentication Service (CAS) の役割と、CIE(Cloud Identity Engine)の中での位置付け
- 影響を受ける PAN-OS のバージョンと、CVE-2026-0300 と共通する修正版マトリクス
- 自社環境で CAS 認証プロファイルがログイン IF に紐付いているかを判定する手順(PAN-OS / SCM 双方)
- SAML / RADIUS への切替、Threat ID 510008 の有効化、管理 IF のアクセス制限による緩和策
CVE-2026-0265(CAS 認証バイパス)の概要
CVE-2026-0265 は、PAN-OS の Cloud Authentication Service (CAS) 機能における暗号署名の検証不備(CWE-347: Improper Verification of Cryptographic Signature)に起因する認証バイパス脆弱性です。CAS は SAML 2.0 をベースとした認証フローを提供するため、本脆弱性は CAS が外部 IdP から受け取る SAML アサーションの署名検証パスに欠陥があり、攻撃者が正規ユーザーになりすますことが可能な構造と推察されます。
脆弱性の基本情報
Palo Alto Networks の公式アドバイザリでは、本脆弱性について以下のように説明されています。
参考: Palo Alto Networks Security Advisory CVE-2026-0265
“An authentication bypass vulnerability in Palo Alto Networks PAN-OS® software enables an unauthenticated attacker with network access to bypass authentication controls when Cloud Authentication Service (CAS) is enabled.”
(Palo Alto Networks PAN-OS ソフトウェアにおける認証バイパス脆弱性により、Cloud Authentication Service (CAS) が有効化されている環境で、ネットワークアクセス権を持つ未認証の攻撃者が認証コントロールをバイパスし得ます。)
https://security.paloaltonetworks.com/CVE-2026-0265
本脆弱性の特徴を整理すると次の通りです。
| 項目 | 内容 |
|---|---|
| CVE ID | CVE-2026-0265 |
| 公開日 | 2026 年 5 月 14 日 |
| Severity | HIGH |
| Urgency | HIGHEST |
| CVSS v4.0 Base Score | 7.2(管理 IF 経由・最高シナリオ)/ 4.8(jump box 制限環境)/ 2.7(その他ログイン IF) |
| CWE | CWE-347(Improper Verification of Cryptographic Signature) |
| CAPEC | CAPEC-115(Authentication Bypass) |
| Attack Vector | NETWORK |
| Attack Complexity | LOW |
| Attack Requirements | PRESENT(CAS が有効でログイン IF に紐付いていることが必要) |
| Privileges Required | NONE |
| User Interaction | NONE |
| Exploit Maturity | UNREPORTED(実環境での悪用報告なし) |
| 発見者 | Harsh Jaiswal(Hacktron AI)および Palo Alto Networks 社内研究チーム |
| ワークアラウンド | あり(CAS から SAML / RADIUS への切替、管理 IF アクセス制限、Threat ID 510008) |
Cloud Authentication Service (CAS) とは
Cloud Authentication Service は、Palo Alto Networks の Cloud Identity Engine (CIE) を構成する 2 つのコンポーネントの 1 つです。CIE は次の 2 機能で構成されます。
| コンポーネント | 役割 |
|---|---|
| Directory Sync | オンプレ Active Directory または Azure AD / Microsoft Entra ID から、ユーザー・グループ属性をクラウド側に同期 |
| Cloud Authentication Service (CAS) | クラウドベースで SAML 2.0 IdP(Azure AD / Okta / Ping 等)と連携してユーザーを認証 |
CAS は、PAN-OS のファイアウォール / Panorama 上で認証要求を受けると、SAML プロトコルで外部 IdP にリダイレクトしてユーザー認証を行い、認証結果(SAML アサーション)を CAS 経由で受け取って PAN-OS 側でユーザー認証を成立させる仕組みです。
参考: Palo Alto Networks Documentation – Cloud Identity Engine
“The Cloud Authentication Service uses a cloud-based service to provide user authentication using SAML 2.0-based Identity Providers (IdPs). When the user attempts to authenticate, the authentication request is redirected to the Cloud Authentication Service, which redirects the request to the IdP.”
(Cloud Authentication Service は、SAML 2.0 ベースの ID プロバイダ (IdP) を利用するユーザー認証をクラウドサービスとして提供します。ユーザーが認証を試みると、認証要求は Cloud Authentication Service にリダイレクトされ、その後 IdP へリダイレクトされます。)
https://docs.paloaltonetworks.com/pan-os/10-1/pan-os-new-features/identity-features/cloud-identity-engine
CAS は次のようなログイン IF で利用されます。
- PAN-OS 管理 Web UI(Device > Setup > Management > Authentication Settings)
- Authentication Portal(旧 Captive Portal)
- GlobalProtect Gateway
- GlobalProtect Portal
- Strata Cloud Manager (SCM) プロファイル経由の NGFW / Prisma Access 構成
「CVSS 7.2 だが Urgency HIGHEST」となる理由
CVSS スコア 7.2(HIGH)でありながら、Urgency が最高位の HIGHEST に分類されています。これは Palo Alto Networks 独自の運用上の緊急度評価で、「CAS を管理 IF で利用しており、かつ管理 IF をインターネット公開している環境」では実害が極めて大きいため、CVSS 数値以上の優先度で対処を求めているものと読み取れます。
公式アドバイザリでは、CAS の利用先と公開状況に応じて 3 段階の CVSS 評価が提示されています。
| シナリオ | CVSS-BT スコア | 状況 |
|---|---|---|
| CAS が管理 IF に有効、かつインターネット公開(最高リスク) | HIGH 7.2 | 攻撃者がインターネットから直接管理権限を奪取し得る |
| CAS が管理 IF に有効だが、jump box 経由のアクセスのみ許可 | MEDIUM 4.8 | 攻撃者が jump box の踏み台 IP を取得していない限り到達不可 |
| CAS が他のログイン IF(GlobalProtect / Authentication Portal)に有効 | LOW 2.7 | データプレーン側の影響に留まり、管理権限は奪取されない |
参考: Palo Alto Networks Security Advisory CVE-2026-0265
“The risk is highest when you allow access to the management interface from external IP addresses on the internet.”
(管理 IF へのアクセスをインターネット上の外部 IP アドレスから許可している場合、リスクが最も高くなります。)
https://security.paloaltonetworks.com/CVE-2026-0265
CVE-2026-0300 との関係
本脆弱性が公開されたわずか 1 週間前の 5 月 6 日には、同じく PAN-OS の管理 IF / Authentication Portal 機能に影響する CVE-2026-0300(User-ID Authentication Portal の Buffer Overflow / CVSS 9.3)が公開されています。
| 観点 | CVE-2026-0265(本件) | CVE-2026-0300(5/6 公開) |
|---|---|---|
| 影響対象 | PA-Series / VM-Series / Panorama | PA-Series / VM-Series(Panorama は対象外) |
| 攻撃前提 | CAS が有効 + ログイン IF に紐付け | Authentication Portal が有効 + Response Pages が有効 |
| CVSS 最高シナリオ | 7.2(管理 IF 公開時) | 9.3(インターネット公開時) |
| 修正版バージョン表 | CVE-2026-0300 と完全に同一 | 同左 |
| 共通する暫定緩和策 | 管理 IF のアクセス元 IP 制限 | 同左 |
特に重要なのは、両 CVE の修正版バージョン表が完全に一致している点です。5 月公開の修正版へのアップグレードを 1 回実施することで、両 CVE を一括で解消できます。CVE-2026-0300 の詳細については、関連記事『PAN-OS CVE-2026-0300|User-ID Authentication Portal の緊急対処手順』も参考になります。
影響を受ける PAN-OS バージョンと対象製品
CVE-2026-0265 は、PAN-OS の主要メジャーバージョン(10.2 / 11.1 / 11.2 / 12.1)に広く影響します。
対象 / 非対象となる製品
参考: Palo Alto Networks Security Advisory CVE-2026-0265
“This issue is applicable to PAN-OS software on PA-Series and VM-Series firewalls and on Panorama (virtual and M-Series). Cloud NGFW and Prisma Access® are not impacted by this vulnerability.”
(本問題は、PA-Series および VM-Series ファイアウォール、ならびに Panorama(virtual および M-Series)の PAN-OS ソフトウェアに該当します。Cloud NGFW および Prisma Access は本脆弱性の影響を受けません。)
https://security.paloaltonetworks.com/CVE-2026-0265
| 区分 | 製品 | 影響 |
|---|---|---|
| 影響対象 | PAN-OS(PA-Series 物理アプライアンス) | あり |
| 影響対象 | PAN-OS(VM-Series 仮想アプライアンス) | あり |
| 影響対象 | Panorama(virtual / M-Series) | あり |
| 影響対象外 | Cloud NGFW | なし |
| 影響対象外 | Prisma Access | なし |
本件では Panorama(virtual / M-Series)も影響対象に含まれる点が CVE-2026-0300 との重要な違いです。Panorama の管理 IF で CAS 認証を有効化している場合は影響を受けるため、ファイアウォール本体だけでなく Panorama 自体のアップグレード計画も必要となります。
バージョン別の修正版一覧
| メジャーバージョン | 影響を受けるバージョン | 修正版 |
|---|---|---|
| PAN-OS 12.1 | < 12.1.4-h5 | 12.1.4-h5 |
| PAN-OS 12.1 | < 12.1.7 | 12.1.7(ETA: 05/28) |
| PAN-OS 11.2 | < 11.2.4-h17 | 11.2.4-h17(ETA: 05/28) |
| PAN-OS 11.2 | < 11.2.7-h13 | 11.2.7-h13 |
| PAN-OS 11.2 | < 11.2.10-h6 | 11.2.10-h6 |
| PAN-OS 11.2 | < 11.2.12 | 11.2.12(ETA: 05/28) |
| PAN-OS 11.1 | < 11.1.4-h33 | 11.1.4-h33 |
| PAN-OS 11.1 | < 11.1.6-h32 | 11.1.6-h32 |
| PAN-OS 11.1 | < 11.1.7-h6 | 11.1.7-h6(ETA: 05/28) |
| PAN-OS 11.1 | < 11.1.10-h25 | 11.1.10-h25 |
| PAN-OS 11.1 | < 11.1.13-h5 | 11.1.13-h5 |
| PAN-OS 11.1 | < 11.1.15 | 11.1.15(ETA: 05/28) |
| PAN-OS 10.2 | < 10.2.7-h34 | 10.2.7-h34 |
| PAN-OS 10.2 | < 10.2.10-h36 | 10.2.10-h36 |
| PAN-OS 10.2 | < 10.2.13-h21 | 10.2.13-h21 |
| PAN-OS 10.2 | < 10.2.16-h7 | 10.2.16-h7 |
| PAN-OS 10.2 | < 10.2.18-h6 | 10.2.18-h6 |
CVE-2026-0300 の対処を既に進めている環境では、追加でアップグレード作業を発生させる必要はなく、同じアップグレードで本件 CVE-2026-0265 も解消できます。詳細な対処手順については、関連記事『PAN-OS CVE-2026-0300|User-ID Authentication Portal の緊急対処手順』も参考になります。
自社の PAN-OS バージョン確認方法
GUI から確認する場合
Dashboard タブの「General Information」ウィジェット内、Software Version 項目で現在のバージョンが表示されます。
CLI から確認する場合
> show system info | match sw-version参考: Palo Alto Networks – PAN-OS CLI Quick Start
https://docs.paloaltonetworks.com/pan-os/cli-quick-start
自社環境が脆弱な構成かどうかを見分けるポイント
CVE-2026-0265 は、Cloud Authentication Service (CAS) を有効化した認証プロファイルがログイン IF に紐付いている環境のみが攻撃対象となります。
影響を受けるための 2 つの設定条件
参考: Palo Alto Networks Security Advisory CVE-2026-0265 – Required Configuration for Exposure
“Customers are impacted if the following conditions are true: Authentication Profile with CAS is enabled and Authentication profile is attached to a login interface.”
(以下の条件がいずれも当てはまる場合に影響を受けます: CAS を用いた認証プロファイルが有効化されていること、かつ、その認証プロファイルがログイン IF に紐付けられていること。)
https://security.paloaltonetworks.com/CVE-2026-0265
- Cloud Authentication Service (CAS) を用いた認証プロファイルが存在し、有効化されている
- その認証プロファイルが、いずれかのログイン IF に紐付けられている
CAS を利用していない環境(ローカル認証、LDAP、RADIUS、独立した SAML 認証のみを利用している環境)であれば、本脆弱性の直接的な悪用リスクは存在しません。
PAN-OS 管理 UI での確認手順
① 管理 IF の認証プロファイル確認(最も重要)
Device > Setup > Management > Authentication Settings > Authentication Profile紐付いているプロファイルが CAS ベースの場合、管理 Web UI 経由の認証バイパスが成立し得る最高リスクの構成となります。Urgency HIGHEST の対象として最優先で対処することが推奨されます。
② Authentication Portal の認証プロファイル確認
Device > User Identification > Authentication Portal Settings③ GlobalProtect Gateway の認証プロファイル確認
Network > Gateways > GlobalProtect Gateway Configuration④ GlobalProtect Portal の認証プロファイル確認
Network > Portals > GlobalProtect Portal ConfigurationSCM(Strata Cloud Manager)プロファイルでの確認手順
参考: Palo Alto Networks Security Advisory CVE-2026-0265 – Required Configuration for Exposure
“To verify if the CAS authentication profile is attached to your configurations in the SCM profile: Navigate to Configuration > NGFW and Prisma Access in the SCM profile. Go to Identity Services > Authentication > Authentication Profile.”
https://security.paloaltonetworks.com/CVE-2026-0265
① NGFW / Prisma Access の認証プロファイル確認
SCM > Configuration > NGFW and Prisma Access > Identity Services > Authentication > Authentication Profile② Device Setup の認証プロファイル確認
SCM > Device > Device Setup > Authentication and Accounting Settings > Authentication profileauth method が CAS に設定されている場合、その認証プロファイルが SCM 経由で配信されているデバイスに対して本脆弱性の影響を及ぼします。
CAS 利用環境を一括把握するための運用観点
複数の PAN-OS デバイスを集中管理している環境では、次の進め方が推奨されます。
- Panorama 経由の集中管理環境
-
Panorama 側で Device Group / Template の Authentication Profile 設定を確認し、CAS を利用するプロファイルが配信先デバイスにどのように紐付いているかを把握
- SCM 経由の管理環境
-
SCM の Configuration > Identity Services 配下で組織全体に配信されている認証プロファイルを一覧化
- API 経由での確認
-
PAN-OS の XML API を利用して
authentication-profileのmethodがcloudであるエントリを抽出する自動化も選択肢となる
特に、「過去にテスト目的で CAS を有効化したまま運用に流れたケース」「セキュリティ担当者の異動で CAS 構成が暗黙知化したケース」などでは、現状の認証プロファイル設定が文書化された運用ルールと乖離している可能性があります。本件を機に自社の認証プロファイル運用全般を棚卸しすることも有用です。
緊急対処と緩和策
CVE-2026-0265 はワークアラウンドが用意されており、修正版へのアップグレードまでの期間に適用可能な緩和策が複数存在します。実環境での悪用報告は本記事執筆時点では確認されていませんが、Urgency が HIGHEST に分類されている以上、「修正版アップグレード」と「即時適用可能な暫定緩和策」を並行して進めることが現実的な対応方針となります。
推奨される恒久対策: 修正版へのアップグレード
最も確実な対処は、上記のバージョン表に従って修正版 PAN-OS へアップグレードすることです。ホットフィックスは細かく分かれているため、現在運用中のメジャー / マイナーバージョンに対応する最小ホットフィックスを選定するのが、変更影響を抑える上で適切です。CVE-2026-0300 への対処として既にアップグレード計画を進めている環境であれば、同じ作業で本件 CVE-2026-0265 も解消できる点が、運用負荷の観点で大きな利点となります。
暫定的な緩和策 1: 管理 IF へのアクセス元 IP 制限(最重要)
管理 IF へのアクセスを信頼できる内部 IP アドレスのみに制限する方法が、本件の最高リスクシナリオ(インターネット公開時の CVSS 7.2)を MEDIUM 4.8 まで引き下げることができます。
実装の方向性としては以下のいずれかを取ることが考えられます。
- 上位 FW やルータの ACL で管理 IF への外部アクセスを遮断
- PAN-OS 自身のセキュリティポリシーで信頼ゾーンからのトラフィックのみ許可
- インターフェース管理プロファイルの「Permitted IP Addresses」で許可元 IP を絞り込む
- jump box(踏み台サーバ)経由のアクセスのみを許可
参考: Palo Alto Networks LIVEcommunity – Tips & Tricks: How to Secure the Management Access
https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
管理 IF をインターネット公開している環境では、本件と同様の認証バイパス系・BoF 系の脆弱性が今後も継続的に発見されるリスクを考慮し、平時から管理 IF を外部公開しない構成にしておくことが恒常的な防御層となります。CVE-2026-0300 の緩和策でも同じ観点を整理していますので、両件をあわせて運用設計を見直すことが推奨されます。
暫定的な緩和策 2: CAS から SAML / RADIUS など他認証方式への切替
参考: Palo Alto Networks Security Advisory CVE-2026-0265 – Workarounds and Mitigations
“To temporarily mitigate this issue, customers can disable the Cloud Authentication Service (CAS) by changing the associated authentication profile to SAML, RADIUS, or other supported authentication methods.”
(本問題を一時的に緩和するため、関連する認証プロファイルを SAML、RADIUS、またはサポートされる他の認証方式に変更することで、Cloud Authentication Service (CAS) を無効化できます。)
https://security.paloaltonetworks.com/CVE-2026-0265
| 切替後の認証方式 | 主な特徴 | 注意点 |
|---|---|---|
| SAML(独立構成) | CAS を介さず、PAN-OS から直接 IdP と SAML 認証 | CIE の Directory Sync 連携が CAS 経由になっている場合、別途調整が必要 |
| RADIUS | RADIUS サーバ(NPS、FreeRADIUS、ISE 等)経由の認証 | MFA をどう実装するかの再設計が必要となる場合がある |
| LDAP | Active Directory 等の LDAP サーバから直接認証 | パスワード認証のみとなり、MFA は別途検討 |
| ローカル認証 | PAN-OS 上にローカルユーザーを定義 | スケーラビリティに課題。緊急回避用 |
現実的な切替候補は、既存の IdP インフラを活用できる「SAML 独立構成」となります。認証方式の変更はログインフロー全体に影響する大きな変更のため、変更前に既存のログインフロー(管理者、エンドユーザー、GlobalProtect クライアント)すべてに対する影響評価を行い、メンテナンスウィンドウ内での計画的な切替が推奨されます。
暫定的な緩和策 3: Threat ID 510008 による IPS ブロック
Threat Prevention サブスクリプションを契約している環境では、Applications and Threats コンテンツ バージョン 9100-10044 以降で Threat ID 510008 が利用可能です。なお、本機能は PAN-OS 11.2 以降が前提となります。
参考: Palo Alto Networks Security Advisory CVE-2026-0265 – Workarounds and Mitigations
“Customers with a Threat Prevention subscription can block attacks for this vulnerability by enabling Threat ID 510008 from Applications and Threats content version 9100-10044 and later. Threat ID 510008 depends on features present in PAN-OS 11.2 and above.”
https://security.paloaltonetworks.com/CVE-2026-0265
Threat ID 510008 を 実効的に動作させるための 5 つの前提条件は次の通りです。
| ステップ | 設定内容 |
|---|---|
| 1 | MGT ポート行きトラフィックを DP ポート経由でルーティング(DP インターフェースで Management Profile を有効化) |
| 2 | Vulnerability Protection セキュリティプロファイルを GlobalProtect インターフェースに適用 |
| 3 | Inbound Traffic Management のデフォルト証明書を置換(Enterprise CA 発行証明書へ) |
| 4 | 管理 IF への Inbound トラフィックを復号(SSL Inbound Inspection を構成) |
| 5 | 管理サービスへの Inbound トラフィックで Threat Prevention を有効化 |
実運用上、これら 5 つのステップをすべて整える前に修正版へのアップグレードが完了するケースも少なくないため、Threat ID 510008 を緩和策の主軸とするよりも、まず緩和策 1 と緩和策 2 を即時適用し、Threat ID 510008 は中長期的な多層防御として位置付けるのが現実的なアプローチとなります。
緩和策の組み合わせ方
優先順位の目安としては次の通りです。
- まず管理 IF へのアクセス元 IP 制限を即時適用(外部公開を断つ)
- CAS から SAML 等への切替を計画的に実施(本件の根本的な攻撃面を遮断)
- PAN-OS 11.2 以上の環境では Threat ID 510008 の前提条件を整え追加
- 修正版 PAN-OS へアップグレードして恒久対策を完了させる
アップグレードと設定変更時の留意点
バックアップ取得の重要性
PAN-OS のアップグレード前、および認証プロファイルの変更に伴うコンフィグ変更の前には、設定のエクスポート(XML 形式の running-config)と、Commit 前のスナップショット保存を行っておくことが推奨されます。
Deviceタブ →Setup→Operationsを開くExport named configuration snapshotでrunning-config.xmlをエクスポート- 必要に応じて
Save named configuration snapshotで現状のコンフィグを名前付きで保存
特に CAS から SAML / RADIUS への切替は、認証フローの根幹に影響する変更です。切替後にログイン障害が発生した際に旧構成へ素早くロールバックできるよう、変更前の running-config.xml を確実に取得しておくことが運用上の安全弁となります。
認証方式切替時の動作検証
| 確認項目 | 確認内容 |
|---|---|
| 管理者ログイン | PAN-OS 管理 Web UI へ管理者アカウントでログインできるか |
| 管理者の MFA 動作 | 切替後の認証方式で MFA が正しく機能するか |
| GlobalProtect クライアントログイン | GlobalProtect 接続で正規ユーザーがログインできるか |
| ユーザー識別(User-ID)の継続性 | 認証方式切替後も User-ID マッピングが正しく取得できるか |
| ロックアウト動作 | パスワード誤入力時のロックアウトポリシーが新認証方式でも機能するか |
特に MFA 連携は、CAS 経由で Azure AD / Okta の MFA を利用していた環境では、切替先の認証方式でも同等の MFA が機能するように構成し直す必要があります。MFA が事実上無効化される構成にしてしまうと、認証バイパス脆弱性への暫定対処と引き換えに別のセキュリティ低下を招くことになります。
Threat Prevention のコンテンツバージョン要件
Threat ID 510008 を利用するには、Device > Dynamic Updates > Applications and Threats のバージョンが 9100-10044 以降であることを確認し、古い場合は Check Now → Download → Install で更新します。
PAN-OS 10.2 / 11.1 系では Threat ID 510008 は利用不可であるため、緩和策 1 と緩和策 2 の組み合わせが現実的な防御策となります。
適用後の動作確認ポイント
| 確認項目 | 確認方法 |
|---|---|
| PAN-OS バージョン | Dashboard または > show system info |
| Panorama のバージョン | Panorama 管理 UI、または > show system info |
| CAS 認証プロファイルの利用状況 | Device > Setup > Management > Authentication Settings > Authentication Profile を確認 |
| 切替後の認証方式の動作 | 管理者・エンドユーザー双方で実際にログイン試行 |
| Threat ID 510008 の有効状態 | Objects > Security Profiles > Vulnerability Protection > Exceptions |
| Threat ログでの検知状況 | Monitor > Logs > Threat で Threat ID 510008 をフィルタ |
| GlobalProtect 接続状況 | Network > GlobalProtect > Portals / Gateways の Active Users 数 |
まとめ
CVE-2026-0265 は、PAN-OS の Cloud Authentication Service (CAS) を有効化した環境で認証バイパスが成立し得る脆弱性です。Severity HIGH(CVSS 7.2)でありながら Urgency HIGHEST に分類されており、管理 IF をインターネット公開している環境では特に優先度の高い対処が求められます。本記事の要点を整理します。
- 影響対象は PA-Series / VM-Series に加え Panorama(virtual / M-Series)も含まれる。CVE-2026-0300 と異なり Panorama が影響対象となる点に注意。Cloud NGFW / Prisma Access は対象外
- 脆弱な構成の 2 条件: ① CAS を用いた認証プロファイルが有効 かつ ② そのプロファイルがいずれかのログイン IF(管理 Web UI / Authentication Portal / GlobalProtect Gateway / GlobalProtect Portal)に紐付いていること。
- CVE-2026-0300 と修正版バージョン表が完全に一致: 同一アップグレード作業で両 CVE を一括解消できる。5 月の管理 IF 系脆弱性 2 件はまとめて対処計画に組み込むことを推奨
- 緩和策の優先順位は「① 管理 IF のアクセス元 IP 制限(即時)→ ② CAS から SAML / RADIUS 等への切替(計画的)→ ③ Threat ID 510008 の有効化(PAN-OS 11.2 以上 / コンテンツ 9100-10044 以上が前提)→ ④ 修正版アップグレード(恒久対処)」の順で多層的に対処することが推奨される。
- Threat ID 510008 は 5 つの前提条件(MGT トラフィックの DP ポート経由化、Vulnerability Protection の適用、Inbound 証明書の置換、Inbound 復号化、Threat Prevention の有効化)を整える必要があり、運用コストが高い。PAN-OS 10.2 / 11.1 系では利用不可
- CAS から他認証方式への切替時は MFA 連携の継続性を必ず確認する。MFA が事実上無効化される構成にしてしまうと、別のセキュリティ低下を招く。
- SCM(Strata Cloud Manager)経由の管理環境では、SCM 側の確認パス(
Identity Services > Authentication > Authentication Profile等)でも CAS 認証プロファイルの紐付け状況を確認することが推奨される。
以上、最後までお読みいただきありがとうございました。
