Активная эксплуатация уязвимости VPN-шлюза привела к утечке корпоративных данных в Пакистане
TL;DR
Активная эксплуатация уязвимости VPN-шлюза привела к утечке корпоративных данных в Пакистане
Palo Alto Networks сделала громкое заявление: их технология VPN PAN-OS GlobalProtect находится под угрозой. Критическая уязвимость обхода аутентификации, отслеживаемая как CVE-2026-0257, активно эксплуатируется злоумышленниками. С оценкой CVSS 7.8 это не просто незначительная ошибка, которую можно отложить на потом. Это «универсальный ключ». Неавторизованные лица обходят протоколы аутентификации и проникают в корпоративные сети, не имея ни одной действительной учетной записи.
Уязвимость затрагивает портал и компоненты шлюза PAN-OS. Путем подделки файлов cookie аутентификации злоумышленники могут выдавать себя за любого пользователя, включая локальных администраторов. Как только они оказываются внутри, ключи от королевства фактически переходят к ним. CISA и другие авторитетные организации в сфере безопасности выпустили срочные предупреждения: обновите свои системы или готовьтесь к последствиям.
Механика взлома
Как они это делают? Все сводится к некорректному взаимодействию между «файлами cookie для переопределения аутентификации» (authentication override cookies) и повторным использованием сертификатов. В средах, где один и тот же сертификат обрабатывает как HTTPS, так и аутентификацию, система теряет бдительность. Она перестает проверять легитимность файлов cookie, по сути, открывая двери любому, кто знает, как создать поддельную сессию.
Согласно данным Rapid7, это не просто теоретическая угроза; первые признаки активной эксплуатации были замечены еще 17 мая 2026 года. Мы пока не знаем точно, кто за этим стоит, но точность атак указывает на целевую кампанию, направленную на взлом корпоративных сред.

Ситуация быстро обострилась. Palo Alto Networks повысила уровень серьезности ошибки со «Среднего» до «Высокого» после того, как подтвердилось, что неисправленные устройства действительно подвергаются взлому. Если ваша организация использует GlobalProtect, пришло время остановиться и провести аудит конфигураций.
Сводка уязвимости
| Характеристика | Детали |
|---|---|
| ID уязвимости | CVE-2026-0257 |
| Оценка CVSS | 7.8 (Высокая) |
| Основной компонент | Портал/шлюз PAN-OS GlobalProtect |
| Дата начала эксплуатации | Наблюдается с 17 мая 2026 г. |
| Статус CISA KEV | Добавлено 29 мая 2026 г. |
Смягчение последствий: что нужно сделать
Единственное верное решение — установка патча. Palo Alto Networks выпустила исправление, и это должно стать вашим главным приоритетом. Если вы находитесь в ситуации, когда немедленное обновление невозможно (например, из-за ограничений устаревших систем или сложных регламентов), вам необходимо немедленно проверить настройки переопределения аутентификации.
Ваш контрольный список для минимизации ущерба:
- Обновляйте системы: Установите последние обновления PAN-OS. Не ждите следующего планового обслуживания.
- Проведите аудит настроек: Изучите настройки шлюза и портала GlobalProtect. Включено ли «переопределение аутентификации»? Используете ли вы повторно сертификаты для HTTPS и аутентификации? Если да, вы находитесь в зоне риска.
- Следите за логами: Внимательно следите за журналами VPN. Ищите странные шаблоны аутентификации или сессии, которые не соответствуют типичному поведению пользователей.
- Будьте в курсе: Следите за The Hacker News и официальным бюллетенем поставщика для получения информации о новых индикаторах компрометации.
Хотя пока нет прямых доказательств того, что злоумышленники перемещаются по сетям латерально, это слабое утешение. Злоумышленник с правами локального администратора на вашем шлюзе может нанести огромный ущерб еще до того, как вы поймете, что он там находится.
Тот факт, что CISA добавила эту уязвимость в список эксплуатируемых (KEV) 29 мая 2026 года, говорит о крайней срочности. Федеральные агентства принимают меры, и частные компании должны делать то же самое. Оборудование, выходящее в интернет, такое как VPN-шлюзы, — это парадная дверь вашего бизнеса; если вы оставляете ее открытой, не стоит удивляться, когда кто-то войдет внутрь.
Команды безопасности должны сохранять бдительность. Поскольку этот эксплойт основан на поддельных файлах cookie, стандартная многофакторная аутентификация может не спасти, если базовый процесс проверки нарушен. Устранив эти специфические конфигурационные зависимости, вы сможете закрыть доступ злоумышленникам и защитить свою сеть.