Palo Alto Networks ने GlobalProtect VPN भेद्यता के सक्रिय शोषण के बाद तत्काल सुरक्षा पैच जारी किया
TL;DR
Palo Alto Networks ने GlobalProtect VPN भेद्यता के सक्रिय शोषण के बाद तत्काल सुरक्षा पैच जारी किया
छवि साभार: The Hacker News
Palo Alto Networks ने हाल ही में एक गंभीर प्रमाणीकरण बायपास भेद्यता के लिए एक आपातकालीन पैच जारी किया है, जिसे CVE-2026-0257 के रूप में ट्रैक किया गया है। यह खामी उनके PAN-OS सॉफ़्टवेयर के GlobalProtect पोर्टल और गेटवे घटकों को प्रभावित करती है, और इसे नजरअंदाज करना जोखिम भरा हो सकता है। संक्षेप में, यह अनधिकृत हमलावरों को मानक लॉगिन प्रोटोकॉल को बायपास करके अनधिकृत VPN कनेक्शन स्थापित करने की अनुमति देता है। इन गेटवे पर निर्भर किसी भी उद्यम के लिए, यह एक बड़ी सुरक्षा समस्या है।
स्थिति तेजी से गंभीर हो गई। जो एक सामान्य भेद्यता रिपोर्ट के रूप में शुरू हुआ था, वह तब उच्च-प्राथमिकता वाली घटना में बदल गया जब शोधकर्ताओं ने पुष्टि की कि हमलावर पहले से ही इसका सक्रिय रूप से उपयोग कर रहे हैं। इस कारण से, साइबर सुरक्षा और बुनियादी ढांचा सुरक्षा एजेंसी (CISA) ने इसे आधिकारिक तौर पर अपने 'ज्ञात शोषित भेद्यता' (KEV) कैटलॉग में शामिल कर लिया है। यदि आपने अभी तक पैच अपडेट नहीं किया है, तो इसे अपनी सुरक्षा के लिए एक चेतावनी समझें।
यह शोषण (Exploit) कैसे काम करता है
समस्या की जड़ इस बात में है कि PAN-OS प्रमाणीकरण ओवरराइड कुकीज़ को कैसे संभालता है। यदि आपने अपने GlobalProtect पोर्टल या गेटवे को इन कुकीज़ को स्वीकार करने के लिए कॉन्फ़िगर किया है—जो कि एक सामान्य सुविधा है—तो सिस्टम सत्र (session) को ठीक से मान्य करने में विफल रहता है। यह अनिवार्य रूप से दरवाजे को खुला छोड़ देता है। यह उन वातावरणों में विशेष रूप से खतरनाक है जहां क्लाउड ऑथेंटिकेशन सर्विस (CAS) अक्षम है, क्योंकि यह सिस्टम को एक ऐसे आंतरिक तंत्र पर निर्भर रहने के लिए मजबूर करता है जो वर्तमान में हेरफेर के लिए पूरी तरह खुला है।
तकनीकी प्रक्रिया काफी सीधी है: विशिष्ट अनुरोध तैयार करके, एक हमलावर क्रेडेंशियल्स की आवश्यकता को पूरी तरह से बायपास कर सकता है। वे प्रभावी रूप से एक वैध उपयोगकर्ता का रूप धारण कर रहे हैं। Rapid7 शोधकर्ताओं ने पहली बार 17 मई, 2026 को इस गतिविधि को देखा। शुरुआती जांच Vultr और Dromatics Systems जैसे प्रदाताओं पर होस्ट किए गए बुनियादी ढांचे तक पहुंचाई गई, जिससे पता चलता है कि यह केवल एक यादृच्छिक गड़बड़ नहीं थी—यह उजागर VPN गेटवे की तलाश करने का एक समन्वित प्रयास था।
हालांकि Palo Alto Networks ने शुरू में जोखिम को मध्यम माना था, लेकिन सक्रिय शोषण की वास्तविकता ने उन्हें CVSSv4 स्कोर को 7.8 तक बढ़ाने के लिए मजबूर किया। यह एक "उच्च" गंभीरता रेटिंग है, और यह इस बात को दर्शाती है कि इसे अंजाम देना कितना आसान है और एक बार जब हमलावर आपके टनल के अंदर आ जाता है तो वह कितना नुकसान पहुंचा सकता है।
क्या आपका बुनियादी ढांचा असुरक्षित है?
हर PAN-OS परिनियोजन (deployment) जोखिम में नहीं है। यह विशेष रूप से उन प्रणालियों को लक्षित करता है जहां "प्रमाणीकरण ओवरराइड" सक्षम है—एक ऐसी सुविधा जिसे उपयोगकर्ताओं को हर बार सत्र समाप्त होने पर दोबारा लॉगिन करने के लिए मजबूर किए बिना कनेक्ट रखने के लिए डिज़ाइन किया गया है।
यह देखने के लिए कि क्या आप खतरे में हैं, अपने प्रबंधन इंटरफ़ेस पर एक नज़र डालें:
- Network टैब पर जाएं और GlobalProtect चुनें।
- अपने Gateways और Agent सेटिंग्स की जांच करें।
- "Accept cookie for authentication override" चेकबॉक्स देखें।
- जांचें कि क्या आपकी क्लाउड ऑथेंटिकेशन सर्विस (CAS) अक्षम है। यदि वह बॉक्स चेक किया गया है और CAS बंद है, तो आप संभवतः असुरक्षित हैं।
पैचिंग और शमन (Mitigation)
Palo Alto Networks ने 13 मई, 2026 को सलाह जारी की और उस महीने के अंत तक सक्रिय शोषण की पुष्टि की। एकमात्र वास्तविक समाधान विक्रेता द्वारा प्रदान किए गए पैच को लागू करना है। चूंकि यह कुकीज़ के निर्माण और सत्यापन के तरीके में एक तर्क दोष है, इसलिए अपडेट मौलिक रूप से बदल देता है कि सिस्टम सत्रों को कैसे संभालता है।
| कार्रवाई | परिणाम |
|---|---|
| सुरक्षा पैच लागू करें | प्रमाणीकरण बायपास तर्क को ठीक करता है। |
| पुनः प्रमाणीकरण | सभी GlobalProtect उपयोगकर्ताओं के लिए एक बार लॉगिन करने के लिए मजबूर करता है। |
| Prisma Access | मानक रखरखाव अनुसूची के माध्यम से स्वचालित रूप से अपडेट किया गया। |
पैच लागू करने से आपके सभी उपयोगकर्ताओं के लिए एक बार पुनः प्रमाणीकरण करना अनिवार्य हो जाएगा। यह निश्चित रूप से एक परेशानी है, लेकिन यह आवश्यक है। पैच सिस्टम को अधिक सुरक्षित क्रिप्टोग्राफ़िक विधि का उपयोग करके प्रमाणीकरण कुकीज़ को पुनर्जीवित करने के लिए मजबूर करता है, जो प्रभावी रूप से किसी भी मौजूदा, संभावित रूप से समझौता किए गए सत्रों को समाप्त कर देता है।
जो लोग Prisma Access चला रहे हैं, उनके लिए अच्छी खबर है—Palo Alto Networks स्वचालित रूप से अपडेट संभाल रहा है। बस किसी भी रखरखाव सूचना के लिए अपने एडमिन कंसोल पर नज़र रखें।
बड़ी तस्वीर
सैद्धांतिक बग से सक्रिय रूप से शोषित बग में बदलाव सब कुछ बदल देता है। हमलावर अपने प्रयासों को बढ़ाने के लिए वाणिज्यिक होस्टिंग प्रदाताओं का उपयोग कर रहे हैं, जिसका अर्थ है कि वे आक्रामक और अच्छी तरह से संसाधन संपन्न हैं।
सुरक्षा टीमों को सतर्क रहने की आवश्यकता है। अजीब प्रमाणीकरण पैटर्न या उन IP श्रेणियों से VPN कनेक्शन के लिए अपने लॉग की समीक्षा करें जो समझ में नहीं आते हैं। चूंकि यह शोषण लॉगिन स्क्रीन को बायपास करता है, इसलिए आपके मानक क्रेडेंशियल-आधारित अलर्ट सक्रिय नहीं हो सकते हैं। आपको उन सफल VPN सत्रों की तलाश करने की आवश्यकता है जिनमें संबंधित लॉगिन ईवेंट की कमी है—यही आपका मुख्य सुराग है।
जैसा कि The Hacker News ने बताया है, यहाँ खतरा यह है कि एक बार जब कोई हमलावर पोर्टल से आगे निकल जाता है, तो वे अनिवार्य रूप से एक विश्वसनीय उपयोगकर्ता बन जाते हैं। वे आपके आंतरिक नेटवर्क को स्कैन कर सकते हैं, पार्श्व में आगे बढ़ सकते हैं, और किसी को पता चले बिना पेलोड ड्रॉप कर सकते हैं।
यदि आप तुरंत पैच नहीं कर सकते हैं, तो "Accept cookie for authentication override" सुविधा को अक्षम कर दें। आपके उपयोगकर्ता बार-बार लॉगिन करने के बारे में शिकायत कर सकते हैं, लेकिन अपडेट लागू होने तक अपने नेटवर्क को सुरक्षित रखने के लिए यह एक छोटी सी कीमत है। Palo Alto Networks सुरक्षा सलाहकार पोर्टल पर नज़र रखें—स्थिति बदल रही है, और आगे का मार्गदर्शन जल्द ही आ सकता है।