Уязвимость в продуктах Palo Alto Networks используют для атак на VPN
3 мин
23
1
Хакеры начали эксплуатировать уязвимость CVE-2026-0257 в операционной системе (ОС) для управления межсетевыми экранами нового поколения (NGFW) и системами предотвращения вторжений PAN-OS от Palo Alto Networks через четыре дня после её публичного раскрытия. Проблема безопасности позволяет обойти аутентификации в системе GlobalProtect, включая портал и шлюз, что делает уязвимость критичной для инфраструктур с удалённым доступом через VPN.
Эксплуатация уязвимости на Palo Alto Networks PAN-OS даёт возможность обойти механизмы проверки доступа и установить VPN-соединение с уязвимыми межсетевыми экранами. Проблема затрагивает устройства с включённым GlobalProtect при определённых конфигурациях. CVE-2026-0257 получила оценку 7,8 из 10 баллов по шкале оценки уязвимости CVSS, что относит брешь к высокому уровню опасности.
Компания Palo Alto Networks в 13 мая 2026 года выпустила обновления безопасности. Позднее компания подтвердила факт эксплуатации уязвимости PAN-OS в реальных атаках. Также уязвимость была отмечена как критическая в базе NIST. В Palo Alto Networks сообщили, что зафиксированы попытки эксплуатации на не обновлённых устройствах без применённых мер защиты.
По информации компании Rapid7, эксплуатация уязвимости Palo Alto Networks началась 17 мая. В ходе анализа специалисты обнаружили подозрительную аутентификацию через cookie-файлы под учётной записью локального администратора в инфраструктурах нескольких компаний. Источником атак выступал хостинг-провайдер Vultr.
21 мая злоумышленник начал вторую волну атак, с помощью инфраструктуры Dromatics Systems. На этом этапе после подмены cookie фиксировалось выделение VPN-адреса, что позволяло получить доступ к внутренней сети. Эксперты отметили, что причины, по которым VPN-доступ был получен только в части случаев, остаются неустановленными. Атаки на PAN-OS проводились с применением поддельных cookie-файлов для обхода аутентификации. В 8 из 10 случаев системы принимали такие cookie, однако полноценная VPN-сессия не устанавливалась, что указывает на частичную успешность эксплуатации.
Компания Rapid7 опубликовала PoC-скрипт для выявления уязвимых устройств Palo Alto Networks, а также индикаторы компрометации для обнаружения следов атак и реагирования на инциденты. Исправления для CVE-2026-0257 доступны в версиях PAN-OS 12.1, 11.2, 11.1 и 10.2, а также в Prisma Access 11.2.0 и 10.2.0. Организациям рекомендуется срочно установить обновления и проверить системы на наличие признаков компрометации, чтобы снизить риск атак на сетевую инфраструктуру.
Агентство по кибербезопасности и защите инфраструктуры США (CISA) включило CVE-2026-0257 в каталог известных эксплуатируемых уязвимостей KEV и рекомендовало устранить её до 1 июня 2026 года.
