Palo Alto Networks выпускает экстренное обновление безопасности после обнаружения активной эксплуатации уязвимости в GlobalProtect VPN

CVE-2026-0257 Palo Alto Networks vulnerability GlobalProtect VPN exploit PAN-OS security patch CISA KEV catalog
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
28 июня 2026 г.
4 мин. чтения
Palo Alto Networks выпускает экстренное обновление безопасности после обнаружения активной эксплуатации уязвимости в GlobalProtect VPN

TL;DR

• Palo Alto Networks выпустила экстренное исправление для уязвимости CVE-2026-0257. • Уязвимость позволяет злоумышленникам обходить протоколы аутентификации VPN. • CISA добавила эту брешь в каталог известных эксплуатируемых уязвимостей (KEV). • Злоумышленники активно используют эту ошибку в реальных атаках. • Администраторам необходимо немедленно обновить PAN-OS для защиты корпоративных шлюзов.

Palo Alto Networks выпускает экстренное обновление безопасности после обнаружения активной эксплуатации уязвимости в GlobalProtect VPN

Изображение предоставлено The Hacker News

Palo Alto Networks выпустила экстренное исправление для критической уязвимости обхода аутентификации, получившей идентификатор CVE-2026-0257. Эта брешь затрагивает компоненты портала и шлюза GlobalProtect в программном обеспечении PAN-OS, и игнорировать её крайне опасно. Проще говоря, она позволяет неавторизованным злоумышленникам беспрепятственно обходить стандартные протоколы входа в систему и устанавливать несанкционированные VPN-соединения. Для любого предприятия, использующего эти шлюзы, это серьезная угроза безопасности.

Ситуация обострилась быстро. То, что начиналось как стандартный отчет об уязвимости, превратилось в инцидент высокого приоритета, как только исследователи подтвердили, что злоумышленники уже используют её в реальных атаках. В связи с этим Агентство по кибербезопасности и защите инфраструктуры (CISA) официально внесло её в свой каталог эксплуатируемых уязвимостей (KEV). Если вы еще не установили обновление, считайте это сигналом к немедленным действиям.

Как работает эксплойт

Корневая проблема кроется в том, как PAN-OS обрабатывает файлы cookie для переопределения аутентификации. Если ваш портал или шлюз GlobalProtect настроен на прием этих файлов cookie — что является распространенной функцией удобства — система не может должным образом проверить сеанс. По сути, это оставляет дверь открытой. Это особенно опасно в средах, где отключена служба облачной аутентификации (CAS), так как система вынуждена полагаться на внутренний механизм, который в настоящее время полностью открыт для манипуляций.

Технический механизм довольно прост: формируя специальные запросы, злоумышленник может полностью обойти необходимость в действительных учетных данных. Они фактически выдают себя за легитимного пользователя. Исследователи Rapid7 впервые заметили эту активность 17 мая 2026 года. Первоначальные попытки были отслежены до инфраструктуры, размещенной у таких провайдеров, как Vultr и Dromatics Systems, что говорит о том, что это не случайный сбой, а скоординированная попытка поиска уязвимых VPN-шлюзов.

Хотя Palo Alto Networks изначально оценила риск как умеренный, реальность активной эксплуатации заставила их повысить оценку CVSSv4 до 7.8. Это «высокий» уровень опасности, учитывая простоту реализации и масштаб ущерба, который злоумышленник может нанести, проникнув в ваш туннель.

Уязвима ли ваша инфраструктура?

Не каждая установка PAN-OS находится под угрозой. Уязвимость затрагивает системы, где включена функция «authentication override» (переопределение аутентификации) — функция, предназначенная для поддержания подключения пользователей без необходимости повторного входа в систему при истечении времени сеанса.

Чтобы проверить, находитесь ли вы в зоне риска, загляните в интерфейс управления:

  • Перейдите на вкладку Network и выберите GlobalProtect.
  • Изучите настройки Gateways и Agent.
  • Найдите флажок "Accept cookie for authentication override".
  • Проверьте, отключена ли служба облачной аутентификации (CAS). Если этот флажок установлен, а CAS выключен, вы, скорее всего, уязвимы.

Исправление и меры по смягчению последствий

Palo Alto Networks опубликовала бюллетень 13 мая 2026 года и подтвердила активную эксплуатацию к концу того же месяца. Единственным реальным решением является установка исправлений от поставщика. Поскольку это логическая ошибка в генерации и проверке файлов cookie, обновление фундаментально меняет способ обработки сеансов системой.

Действие Результат
Установка патча безопасности Устраняет логику обхода аутентификации.
Повторная аутентификация Принудительный однократный вход для всех пользователей GlobalProtect.
Prisma Access Автоматическое обновление по стандартному графику обслуживания.

Установка патча потребует однократной повторной аутентификации для всех ваших пользователей. Это может вызвать неудобства, но это необходимо. Патч заставляет систему повторно генерировать файлы cookie аутентификации с использованием более безопасного криптографического метода, что эффективно завершает любые существующие, потенциально скомпрометированные сеансы.

Для тех, кто использует Prisma Access, есть хорошие новости: Palo Alto Networks выполняет обновления автоматически. Просто следите за консолью администратора на предмет уведомлений о техническом обслуживании.

Общая картина

Переход от теоретической ошибки к активно эксплуатируемой меняет всё. Злоумышленники используют коммерческих хостинг-провайдеров для масштабирования своих усилий, что означает, что они действуют агрессивно и обладают достаточными ресурсами.

Команды безопасности должны быть бдительны. Проверяйте журналы на наличие странных шаблонов аутентификации или VPN-соединений из IP-диапазонов, которые кажутся подозрительными. Поскольку этот эксплойт обходит экран входа в систему, ваши стандартные оповещения на основе учетных данных могут не сработать. Вам нужно искать успешные VPN-сеансы, у которых отсутствует соответствующее событие входа — это и есть главный признак взлома.

Как отмечает The Hacker News, опасность заключается в том, что, как только злоумышленник проходит через портал, он фактически становится доверенным пользователем. Они могут сканировать вашу внутреннюю сеть, перемещаться по ней и внедрять вредоносное ПО, оставаясь незамеченными.

Если вы не можете установить патч немедленно, отключите функцию «Accept cookie for authentication override». Ваши пользователи могут быть недовольны необходимостью чаще входить в систему, но это небольшая цена за безопасность вашей сети, пока вы готовите обновление. Следите за порталом безопасности Palo Alto Networks — ситуация динамична, и могут появиться дополнительные рекомендации.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Новости по теме

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Автор: Viktor Sokolov 10 июля 2026 г. 4 мин. чтения
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Автор: Marcus Chen 9 июля 2026 г. 4 мин. чтения
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Автор: Elena Voss 8 июля 2026 г. 4 мин. чтения
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Автор: James Okoro 7 июля 2026 г. 4 мин. чтения
common.read_full_article