Palo Alto Networks выпускает срочное обновление после обнаружения активной эксплуатации уязвимости в корпоративных VPN-шлюзах
TL;DR
Palo Alto Networks выпускает срочное обновление после обнаружения активной эксплуатации уязвимости в корпоративных VPN-шлюзах
Если вы используете VPN от Palo Alto Networks, отложите все дела и проверьте свои логи. Компания официально подтвердила, что CVE-2026-0257 — опасная уязвимость, позволяющая обойти аутентификацию, — больше не является теоретической угрозой. Она активно эксплуатируется в реальных условиях.
Это не просто очередное плановое обновление. Уязвимость затрагивает порталы и шлюзы GlobalProtect в PAN-OS и Prisma Access. Проще говоря: злоумышленники находят способы проникнуть во внутренние корпоративные сети, даже не имея пароля.
Когда уязвимость была впервые обнаружена 13 мая 2026 года, ей присвоили оценку CVSS 7.8. Поначалу она казалась проблемой «средней тяжести». Но ситуация изменилась, как только поступили сообщения об активной эксплуатации. Теперь тревогу бьют все: от федеральных агентств до независимых исследователей безопасности. Злоумышленники научились подделывать аутентификационные cookie-файлы, выдавая себя за легитимных сотрудников. Оказавшись внутри, они становятся «невидимками» в системе.
Механика взлома
Как они это делают? Уязвимость кроется в том, как шлюзы GlobalProtect обрабатывают cookie-файлы для переопределения аутентификации (authentication override). Если эта функция включена, а конфигурация сертификатов настроена определенным образом, система фактически «забывает» проверить, является ли сессия подлинной.
Это классический сценарий «оставленной приоткрытой двери». Манипулируя токенами сессии, злоумышленник получает те же права, что и пользователь, за которого он себя выдает. Если они перехватывают сессию администратора с высоким уровнем доступа, они получают ключи от всего королевства.
Хронология событий пугает. Исследователи из Rapid7 зафиксировали попытки эксплуатации еще 17 мая 2026 года. Разрыв между публикацией уведомления и первой волной атак оказался минимальным. Для многих IT-команд «цикл обновления» превратился в спринт на выживание.
Ситуация обострилась 29 мая 2026 года, когда Агентство по кибербезопасности и защите инфраструктуры (CISA) внесло эту уязвимость в свой каталог эксплуатируемых уязвимостей (KEV). Когда CISA делает такой шаг, это служит сигналом для всех федеральных агентств и частного сектора: угроза реальна, актуальна и опасна.
Реальность угрозы
Если вы хотите узнать, находитесь ли вы под прицелом, проверьте настройки GlobalProtect. Уязвимость затрагивает среды, использующие функцию переопределения аутентификации. Если ваши настройки сертификатов или переопределения не соответствуют требованиям безопасности вендора, вы в зоне риска. Palo Alto Networks опубликовала официальное уведомление по безопасности для CVE-2026-0257, и оно обязательно к прочтению для любого администратора.
| Атрибут | Детали |
|---|---|
| CVE ID | CVE-2026-0257 |
| Оценка CVSS | 7.8 (Средняя) |
| Затронутые продукты | PAN-OS, Prisma Access (GlobalProtect) |
| Статус эксплуатации | Активно эксплуатируется |
| Основной риск | Обход аутентификации / Несанкционированный доступ к VPN |
Пусть оценка CVSS «Средняя» не вводит вас в заблуждение. Поскольку этот эксплойт основан на поддельных cookie-файлах, ваши стандартные средства защиты периметра могут даже не среагировать. Если у злоумышленника есть детали конфигурации вашего шлюза, он уже наполовину у цели. Единственный способ закрыть эту дверь — установить патчи от вендора. Других путей нет.
Что делать прямо сейчас?
Консенсус в индустрии ясен: действуйте как при пожарной тревоге. Как отмечает The Hacker News, порог входа для злоумышленников здесь смехотворно низок. Это крайне ценная цель для тех, кто хочет закрепиться в корпоративной сети.
Команда анализа угроз Rapid7 отслеживает эти попытки, отмечая, что они направлены на обход VPN-уровня для дальнейшего перемещения по сети и кражи данных. Как только они внутри, VPN — ваша первая линия обороны — становится обузой.
Как справедливо заметило издание The Register, эта ошибка перешла из разряда «следите за обновлениями» в категорию чрезвычайной ситуации.
Ваш план действий:
- Проведите аудит конфигураций: Проверьте настройки портала и шлюза GlobalProtect. Включены ли cookie-файлы переопределения аутентификации? Если да, время пошло.
- Проверьте версии: Сравните текущие версии PAN-OS и Prisma Access с требованиями вендора.
- Обновитесь немедленно: Не ждите следующего окна обслуживания. Установите обновления прямо сейчас.
- Изучите логи: Просмотрите логи VPN на предмет подозрительной активности. Ищите сессии, которые не соответствуют типичному поведению пользователей — особенно входы из необычных географических локаций или с незнакомых устройств.
- Будьте в курсе: Держите открытой вкладку с официальным порталом безопасности Palo Alto Networks. Ситуация меняется быстро, и компания обновляет рекомендации по мере поступления новой информации.
Ситуация динамична. Поскольку эксплойт имитирует действия легитимных пользователей, вы не можете просто искать «вредоносный» трафик — вы должны искать аномальный трафик. Зашел ли сотрудник из нового города? Оставалась ли сессия открытой необычно долго?
Включение этой ошибки в каталог CISA KEV подтверждает, что это не единичные случаи, а тенденция. Palo Alto Networks делает все возможное, чтобы помочь клиентам защитить системы, но основная работа ложится на ваши плечи. Если вы еще не провели аудит конфигураций шлюза, сделайте это сегодня. Окно возможностей для защиты закрывается, а злоумышленники не сбавляют темп.
