Palo Alto GlobalProtect под ударом: уязвимость обхода аутентификации попала в список KEV от CISA
TL;DR
Palo Alto GlobalProtect под ударом: уязвимость обхода аутентификации попала в список KEV от CISA
Palo Alto Networks подтвердила худшие опасения: уязвимость обхода аутентификации высокого уровня опасности, зарегистрированная как CVE-2026-0257, активно эксплуатируется злоумышленниками. Эта брешь — не просто теоретическая ошибка; это прямая дыра в компонентах портала и шлюза GlobalProtect в PAN-OS. Для злоумышленника задача проста: он может подделать файлы cookie аутентификации и беспрепятственно проникнуть в ваш VPN, не зная пароля.
Ситуация быстро обострилась. После сообщений о целенаправленных атаках CISA внесла эту уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV). Если вы используете затронутые конфигурации межсетевых экранов, считайте это сигналом к действию. Риск несанкционированного доступа к сети высок, и установка патчей — это не опция, а единственный способ сохранить целостность периметра.
Механика взлома
Как злоумышленники это делают? Все сводится к фундаментальной слабости в обработке файлов cookie «Authentication Override» (обход аутентификации) в PAN-OS. Когда эта функция включена на портале или шлюзе GlobalProtect, система становится уязвимой для поддельных входных данных.
Согласно официальному бюллетеню безопасности Palo Alto Networks, уязвимость проявляется именно тогда, когда активен механизм обхода. Это классический случай доверия к неверным данным. Компания Rapid7, которая зафиксировала активную эксплуатацию уязвимости, выявила две отдельные волны атак: одну 17 мая 2026 года и вторую, более агрессивную, 21 мая. Это были не просто попытки сканирования, а успешные действия по установке несанкционированных VPN-сессий.
Отрасль осознала опасность. Хотя первоначальная оценка воздействия была консервативной, обновленная оценка CVSSv4 для CVE-2026-0257 теперь составляет 7.8. Это высокий уровень опасности, отражающий реальность угрозы: ее легко эксплуатировать, она не требует взаимодействия с пользователем и уже используется реальными злоумышленниками.
Уязвима ли ваша среда?
Не каждая установка PAN-OS находится под угрозой. Эта уязвимость строго связана с конфигурацией «Authentication Override». Если эта функция у вас отключена, вы в безопасности, но не стоит полагаться только на слова — проверьте настройки.
Чтобы узнать, не находитесь ли вы в зоне риска, зайдите в интерфейс управления PAN-OS и перейдите по следующему пути:
- Путь навигации: Network > GlobalProtect > Gateways > Agent > Client Settings
- Целевая настройка: "Accept cookie for authentication override"
Если этот флажок установлен, вы уязвимы. Подробный отчет об угрозе от Palo Alto стоит прочитать каждой команде безопасности, чтобы понять специфические паттерны атак, которые отслеживает Unit 42. Это отрезвляющий взгляд на то, как быстро подобные методы обхода могут быть превращены в оружие.
Исправление и смягчение последствий
Решение проблемы прямолинейно, но требует определенных усилий. Поскольку уязвимость коренится в способе обработки криптографических файлов cookie межсетевым экраном, необходимо разорвать старый цикл, чтобы начать новый.
| Действие по смягчению | Влияние на пользователей |
|---|---|
| Установка патча безопасности | Требует однократной повторной аутентификации для всех пользователей. |
| Отключение Auth Override | Устраняет уязвимость, но требует ручного входа. |
| Обновление Prisma Access | Управляется автоматически Palo Alto Networks. |
После установки патча система начнет генерировать файлы cookie с использованием более надежной и безопасной методологии. Немедленный побочный эффект? Все активные пользователи GlobalProtect будут отключены и вынуждены пройти повторную аутентификацию. Это неудобство, конечно, но необходимое. Это единственный способ гарантировать, что любые поддельные файлы cookie, уже циркулирующие в сети, станут бесполезными.
Для тех, кто использует Prisma Access, ситуация проще. Palo Alto берет на себя всю работу по обслуживанию облачной инфраструктуры. Эти среды обновляются автоматически в соответствии со стандартным графиком обслуживания, поэтому вам не нужно ничего делать.
Сохраняйте бдительность
Тот факт, что эта уязвимость активно эксплуатируется, является суровым напоминанием о том, что пограничные устройства — это первая линия обороны и часто первая цель для атак. Поскольку эта брешь позволяет получить доступ без аутентификации, окно возможностей для злоумышленника остается открытым, пока вы его не закроете.
Команды безопасности должны прямо сейчас проанализировать логи своего VPN. Есть ли аномальные паттерны аутентификации? Устанавливаются ли сессии в необычное время или из неожиданных мест? Если вы видите что-то подозрительное, немедленно начинайте расследование.
Теперь, когда уязвимость официально внесена в каталог KEV от CISA, давление усиливается. Федеральные агентства уже обязаны установить патчи, и частным организациям следует последовать их примеру без промедления. Даже если вы не работаете в регулируемой отрасли, сочетание активной эксплуатации и высокого рейтинга опасности должно стать поводом для того, чтобы поставить эту задачу в приоритет.
Переход на более безопасный метод генерации cookie — важный шаг, но это еще не конец истории. Внимательно следите за логами шлюза GlobalProtect. Даже после установки патча стоит искать любые остаточные признаки того, что кто-то мог попытаться проникнуть в систему до того, как вы закрыли дверь. В мире кибербезопасности проактивность — единственный способ оставаться на шаг впереди. Обновляйте системы, следите за чистотой логов и не считайте себя в безопасности только потому, что еще не получили оповещение.
