Palo Alto Networks выпускает экстренное обновление безопасности после обнаружения активной эксплуатации уязвимости в GlobalProtect VPN
TL;DR
Palo Alto Networks выпускает экстренное обновление безопасности после обнаружения активной эксплуатации уязвимости в GlobalProtect VPN
Изображение предоставлено The Hacker News
Palo Alto Networks выпустила экстренное исправление для критической уязвимости обхода аутентификации, получившей идентификатор CVE-2026-0257. Эта брешь затрагивает компоненты портала и шлюза GlobalProtect в программном обеспечении PAN-OS, и игнорировать её крайне опасно. Проще говоря, она позволяет неавторизованным злоумышленникам беспрепятственно обходить стандартные протоколы входа в систему и устанавливать несанкционированные VPN-соединения. Для любого предприятия, использующего эти шлюзы, это серьезная угроза безопасности.
Ситуация обострилась быстро. То, что начиналось как стандартный отчет об уязвимости, превратилось в инцидент высокого приоритета, как только исследователи подтвердили, что злоумышленники уже используют её в реальных атаках. В связи с этим Агентство по кибербезопасности и защите инфраструктуры (CISA) официально внесло её в свой каталог эксплуатируемых уязвимостей (KEV). Если вы еще не установили обновление, считайте это сигналом к немедленным действиям.
Как работает эксплойт
Корневая проблема кроется в том, как PAN-OS обрабатывает файлы cookie для переопределения аутентификации. Если ваш портал или шлюз GlobalProtect настроен на прием этих файлов cookie — что является распространенной функцией удобства — система не может должным образом проверить сеанс. По сути, это оставляет дверь открытой. Это особенно опасно в средах, где отключена служба облачной аутентификации (CAS), так как система вынуждена полагаться на внутренний механизм, который в настоящее время полностью открыт для манипуляций.
Технический механизм довольно прост: формируя специальные запросы, злоумышленник может полностью обойти необходимость в действительных учетных данных. Они фактически выдают себя за легитимного пользователя. Исследователи Rapid7 впервые заметили эту активность 17 мая 2026 года. Первоначальные попытки были отслежены до инфраструктуры, размещенной у таких провайдеров, как Vultr и Dromatics Systems, что говорит о том, что это не случайный сбой, а скоординированная попытка поиска уязвимых VPN-шлюзов.
Хотя Palo Alto Networks изначально оценила риск как умеренный, реальность активной эксплуатации заставила их повысить оценку CVSSv4 до 7.8. Это «высокий» уровень опасности, учитывая простоту реализации и масштаб ущерба, который злоумышленник может нанести, проникнув в ваш туннель.
Уязвима ли ваша инфраструктура?
Не каждая установка PAN-OS находится под угрозой. Уязвимость затрагивает системы, где включена функция «authentication override» (переопределение аутентификации) — функция, предназначенная для поддержания подключения пользователей без необходимости повторного входа в систему при истечении времени сеанса.
Чтобы проверить, находитесь ли вы в зоне риска, загляните в интерфейс управления:
- Перейдите на вкладку Network и выберите GlobalProtect.
- Изучите настройки Gateways и Agent.
- Найдите флажок "Accept cookie for authentication override".
- Проверьте, отключена ли служба облачной аутентификации (CAS). Если этот флажок установлен, а CAS выключен, вы, скорее всего, уязвимы.
Исправление и меры по смягчению последствий
Palo Alto Networks опубликовала бюллетень 13 мая 2026 года и подтвердила активную эксплуатацию к концу того же месяца. Единственным реальным решением является установка исправлений от поставщика. Поскольку это логическая ошибка в генерации и проверке файлов cookie, обновление фундаментально меняет способ обработки сеансов системой.
| Действие | Результат |
|---|---|
| Установка патча безопасности | Устраняет логику обхода аутентификации. |
| Повторная аутентификация | Принудительный однократный вход для всех пользователей GlobalProtect. |
| Prisma Access | Автоматическое обновление по стандартному графику обслуживания. |
Установка патча потребует однократной повторной аутентификации для всех ваших пользователей. Это может вызвать неудобства, но это необходимо. Патч заставляет систему повторно генерировать файлы cookie аутентификации с использованием более безопасного криптографического метода, что эффективно завершает любые существующие, потенциально скомпрометированные сеансы.
Для тех, кто использует Prisma Access, есть хорошие новости: Palo Alto Networks выполняет обновления автоматически. Просто следите за консолью администратора на предмет уведомлений о техническом обслуживании.
Общая картина
Переход от теоретической ошибки к активно эксплуатируемой меняет всё. Злоумышленники используют коммерческих хостинг-провайдеров для масштабирования своих усилий, что означает, что они действуют агрессивно и обладают достаточными ресурсами.
Команды безопасности должны быть бдительны. Проверяйте журналы на наличие странных шаблонов аутентификации или VPN-соединений из IP-диапазонов, которые кажутся подозрительными. Поскольку этот эксплойт обходит экран входа в систему, ваши стандартные оповещения на основе учетных данных могут не сработать. Вам нужно искать успешные VPN-сеансы, у которых отсутствует соответствующее событие входа — это и есть главный признак взлома.
Как отмечает The Hacker News, опасность заключается в том, что, как только злоумышленник проходит через портал, он фактически становится доверенным пользователем. Они могут сканировать вашу внутреннюю сеть, перемещаться по ней и внедрять вредоносное ПО, оставаясь незамеченными.
Если вы не можете установить патч немедленно, отключите функцию «Accept cookie for authentication override». Ваши пользователи могут быть недовольны необходимостью чаще входить в систему, но это небольшая цена за безопасность вашей сети, пока вы готовите обновление. Следите за порталом безопасности Palo Alto Networks — ситуация динамична, и могут появиться дополнительные рекомендации.