В середине мая 2026 года специалисты по информационной безопасности столкнулись с новой серьёзной угрозой. Уязвимость CVE-2026-0257 (идентификатор проблемы) в продуктах Palo Alto Networks позволяет удалённому неавторизованному злоумышленнику обойти аутентификацию и подключиться к корпоративной сети через VPN-шлюз GlobalProtect. Хотя разработчик присвоил уязвимости средний уровень опасности по шкале CVSSv4, эксперты компании Rapid7 настаивают на критическом статусе проблемы. Атаки уже начались, и каталог известных эксплуатируемых уязвимостей CISA пополнился этой записью 29 мая. Речь идёт об устройствах под управлением PAN-OS и облачном сервисе Prisma Access, где включена функция переопределения аутентификации.
Описание
Как следует из отчёта компании Rapid7, первые признаки эксплуатации зафиксированы 17 мая. Через день, 18 мая, система мониторинга и реагирования MDR обнаружила подозрительную аутентификацию через куки от имени локальной учётной записи admin сразу в нескольких клиентских средах. Все запросы приходили с одного провайдера хостинга Vultr. Анализ технических файлов поддержки показал, что облачный сервис аутентификации (Cloud Authentication Service) был отключён, а на портале или шлюзе GlobalProtect включены куки переопределения аутентификации. Специалисты Rapid7 пришли к выводу, что происходит именно эксплуатация CVE-2026-0257. Позднее лаборатория Rapid7 Labs подтвердила это, успешно проверив прототип эксплойта.
Вторая волна атак пришлась на 21 мая. Злоумышленники использовали другой хостинг - Dromatics Systems. Примечательно, что MAC-адрес (уникальный идентификатор сетевого устройства) оставался одинаковым во всех инцидентах, что указывает на одного и того же злоумышленника. В некоторых случаях после успешной аутентификации через поддельные куки происходила выдача IP-адреса для полноценного VPN-подключения, что давало атакующему доступ к внутренней сети. Однако у восьми из десяти клиентов Rapid7 MDR сессия VPN не устанавливалась - устройство принимало поддельную куку, но не предоставляло полного доступа. Причины такого различия пока не ясны.
Технически проблема кроется в функции переопределения аутентификации. Она позволяет шлюзу GlobalProtect выдавать пользователю куки после успешного входа, чтобы при последующих обращениях не требовать повторной аутентификации. Механизм похож на токен-носитель (bearer token). Уязвимость возникает, когда сертификат, используемый для шифрования и расшифровки этих куки, совпадает с сертификатом HTTPS-сервиса портала или шлюза. Разработчик предупреждает: не следует использовать один и тот же сертификат для разных функций. Но если это правило нарушено, любой, кто знает открытый ключ сертификата HTTPS, может зашифровать поддельную куку, указав любое имя пользователя. Серверная сторона доверяет расшифрованному содержимому без проверки цифровой подписи. Таким образом, злоумышленник способен создать куку для учётной записи admin и подключиться к VPN.
Лаборатория Rapid7 Labs уже выпустила скрипт для проверки уязвимости. Он получает цепочку сертификатов HTTPS целевого устройства, перебирает каждый открытый ключ и пытается создать поддельную куку. Если шлюз или портал принимает её, устройство считается уязвимым. Судя по логам, в реальных атаках злоумышленники использовали именно такой подход: они находили подходящий сертификат в цепочке доверия и формировали куку для входа от имени admin.
Уязвимость затрагивает многие версии PAN-OS и Prisma Access. Разработчик выпустил исправления для всех поддерживаемых веток. Например, для PAN-OS 11.2 требуется обновление до версии 11.2.12 или выше, для 10.2 - до 10.2.18-h6 и так далее. Полный список версий и патчей приведён в бюллетене безопасности Palo Alto Networks. Если по каким-то причинам установить обновление невозможно, рекомендуется отключить функцию переопределения аутентификации или сгенерировать отдельный сертификат исключительно для неё. Важно помнить, что уязвимость проявляется только при одновременном выполнении двух условий: включена функция переопределения аутентификации и сертификат для куки совпадает с сертификатом HTTPS.
Сложившаяся ситуация напоминает классическую ошибку конфигурации, которая теперь активно эксплуатируется. Учитывая, что VPN-шлюзы являются границей корпоративной сети, их компрометация может привести к серьёзным последствиям: утечке данных, проникновению во внутренние системы и дальнейшему развитию атаки. Пока специалисты Rapid7 не наблюдали признаков перемещения злоумышленников по сети после получения доступа, но потенциальный риск огромен. Компаниям, использующим уязвимые устройства, необходимо как можно быстрее применить патчи или временные меры защиты. Промедление грозит прямым вторжением в корпоративную инфраструктуру.
Индикаторы компрометации
IPv4
- 104.207.144.154
- 146.19.216.119
- 146.19.216.120
- 146.19.216.125
Spoofed MAC
- aa:bb:cc:dd:ee:ff
