Palo Alto Networks выпустила срочное обновление после обнаружения активной эксплуатации уязвимости в корпоративном VPN-шлюзе
TL;DR
Palo Alto Networks выпустила срочное обновление после обнаружения активной эксплуатации уязвимости в корпоративном VPN-шлюзе
Если вы используете GlobalProtect VPN от Palo Alto Networks, немедленно проверьте статус обновлений вашей системы. Прямо сейчас.
Palo Alto Networks официально подтвердила, что злоумышленники активно эксплуатируют критическую уязвимость обхода аутентификации, получившую идентификатор CVE-2026-0257. Это не теоретический сценарий — атаки происходят в реальности. Уязвимость позволяет удаленным неавторизованным злоумышленникам подделывать валидные сессионные cookie-файлы, получая доступ к вашей внутренней корпоративной сети через порталы и шлюзы GlobalProtect.
Ситуация развивалась стремительно. 29 мая 2026 года Агентство по кибербезопасности и защите инфраструктуры (CISA) внесло эту уязвимость в свой каталог эксплуатируемых уязвимостей (Known Exploited Vulnerabilities, KEV), что является ясным сигналом серьезности и масштабности угрозы. Исследователи безопасности и вендор единогласны: необходимо немедленное обновление. Эксплойт пугающе прост и был замечен в дикой природе еще в середине мая.
Быстрый рост критичности
Когда эта уязвимость была впервые обнаружена 13 мая 2026 года, ей присвоили средний уровень опасности. Однако эта оценка продержалась недолго. Как только такие компании, как Rapid7, начали фиксировать попытки активной эксплуатации уже 17 мая, у Palo Alto Networks не осталось иного выбора, кроме как повысить рейтинг до критического.
Ошибка затрагивает брандмауэры, где файлы cookie «обхода аутентификации» (authentication override) включены вместе с определенными конфигурациями сертификатов. Это классический пример того, почему простота является врагом безопасности. Поскольку эксплойт опирается на общедоступный TLS-сертификат самого устройства для подделки cookie-файлов аутентификации, злоумышленнику не нужно быть гением, чтобы обойти страницу входа. Как только они проникают внутрь, VPN-шлюз становится широко открытой дверью для горизонтального перемещения по вашим наиболее чувствительным внутренним средам.
Масштаб проблемы
Это касается не какой-то специфической версии PAN-OS, а представляет собой широкую угрозу для всех, кто использует конфигурации GlobalProtect VPN. Мы наблюдаем, как многочисленные группы злоумышленников сканируют сети в поисках необновленных устройств, рассматривая их как легкую добычу. Хотя долгосрочные цели этих субъектов все еще выясняются, непосредственная реальность заключается в полном провале периметра безопасности.
Вот краткий обзор ситуации:
| Атрибут | Детали |
|---|---|
| Идентификатор CVE | CVE-2026-0257 |
| Тип уязвимости | Обход аутентификации |
| Затронутый компонент | Портал/шлюз GlobalProtect |
| Статус эксплуатации | Активная (подтверждено) |
| Добавление в CISA KEV | 29 мая 2026 г. |
Смягчение последствий: что нужно сделать
Не ждите планового окна обслуживания, которое может наступить через несколько недель. Перейдите на портал Palo Alto Networks Security Advisories, чтобы найти конкретное обновление для вашей версии.
Попутно выполните следующие шаги для защиты периметра:
- Проведите аудит конфигураций: Проверьте настройки GlobalProtect. Включены ли файлы cookie «обхода аутентификации»? Если они вам не нужны, отключите их.
- Обновляйте, обновляйте и еще раз обновляйте: Получите последние обновления на портале Palo Alto Networks Support.
- Следите за логами: Внимательно следите за журналами вашего VPN-шлюза. Ищите шаблоны аутентификации, которые не соответствуют поведению ваших типичных пользователей, особенно запросы сессий, которые, по-видимому, обходят стандартные потоки.
- Будьте в курсе: Подпишитесь на RSS-ленту Palo Alto Networks. Вам необходимо получать эти оповещения в режиме реального времени.
Если вы обнаружите что-то подозрительное, у вендора есть программа bug bounty для ответственного раскрытия информации. Это лучший способ гарантировать, что ваши находки попадут к нужным специалистам.
Новая реальность корпоративной защиты
Повышение уровня опасности CVE-2026-0257 служит мрачным напоминанием о том, как быстро действуют злоумышленники. Им больше не нужны сложные многоступенчатые эксплойты. Поскольку для этой ошибки требуется всего один HTTP-запрос, барьер для входа практически отсутствует. Это делает ваш необновленный брандмауэр невероятно привлекательной целью для любого, у кого есть скрипт и подключение к интернету.
Имеющиеся данные свидетельствуют о том, что это не работа одного хакера-одиночки; эта уязвимость была включена в стандартные наборы инструментов нескольких хакерских групп. Пока мы полагаемся на VPN-шлюзы для удаленного доступа, целостность процесса аутентификации — это единственное, что стоит между злоумышленником и вашими данными.
Palo Alto Networks ведет прямую трансляцию технических деталей и стратегий смягчения последствий на своем портале отчетов о безопасности. Проверяйте его чаще. Ситуация динамична, и вы должны быть уверены, что ваша оборонительная позиция основана на актуальных данных, а не на вчерашних предположениях.
На данный момент нет доказательств того, что системы с отключенным «обходом аутентификации» находятся под угрозой. Это хорошая новость. Но если вы еще не провели аудит своей среды PAN-OS, сделайте это сегодня. Возможно, у вас остались устаревшие конфигурации, которые буквально приглашают злоумышленника подделать cookie и войти без препятствий.
Учитывая предупреждение CISA и подтвержденную активную эксплуатацию, здесь нет места для колебаний. ИТ-команды и специалисты по безопасности должны действовать безотлагательно. Обновите программное обеспечение, ужесточите конфигурации и следите за логами. Ландшафт угроз не будет ждать, пока вы догоните, и в данном случае цена промедления слишком высока. Будьте бдительны — по мере развития событий на этой неделе, вероятно, появятся новые обновления.
