Исследовательское подразделение Palo Alto Networks Unit 42 обнаружило, что неизвестная группировка активно эксплуатирует критическую уязвимость в операционной системе PAN-OS. Этот программный комплекс лежит в основе межсетевых экранов и шлюзов безопасности вендора. Проблема затрагивает миллионы устройств по всему миру, поэтому новость мгновенно привлекла внимание специалистов по защите периметра.
Описание
Уязвимость получила идентификатор CVE-2026-0257 и представляет собой механизм обхода аутентификации в портале и шлюзе GlobalProtect. GlobalProtect - это технология защищённого удалённого доступа, которая используется для организации VPN-соединений (виртуальных частных сетей) между корпоративной сетью и внешними пользователями. При успешной эксплуатации неавторизованный нарушитель может обойти штатные средства контроля и инициировать сеанс VPN так, как будто он является легитимным сотрудником. Компания Palo Alto Networks уже добавила данный CVE в свой каталог известных эксплуатируемых уязвимостей двадцать девятого мая.
Специалисты Unit 42 проанализировали активность в дикой природе. Выяснилось, что атакующие сканируют интернет в поисках незащищённых экземпляров PAN-OS и пытаются подключиться к интерфейсам GlobalProtect. Злоумышленники используют специально подготовленные запросы, которые заставляют шлюз поверить, что аутентификация уже пройдена. К счастью, на данный момент не обнаружено никаких признаков последующих действий после получения доступа - атакующие не перемещались внутри сети и не закреплялись в инфраструктуре. Кроме того, лишь небольшая часть проверенных устройств действительно установила VPN-сессии.
В отчёте Unit 42 приведены конкретные индикаторы, которые помогут администраторам выявить попытки эксплуатации. Прежде всего необходимо проанализировать журналы GlobalProtect на предмет успешных подключений от указанных IP-адресов (Индикаторы компрометации). Эти адреса замечены в активности ещё до официальной публикации доказательства концепции. Также стоит обратить внимание на необычные идентификаторы хостов и имена устройств. В журналах могут встречаться такие записи, как aa:bb:cc:dd:ee:ff, 00:11:22:33:44:55, а также имена WINDOWS-LAPTOP-001, DESKTOP-GP01 или GP-CLIENT. После выхода публичного кода эксплуатации появились дополнительные признаки. Например, в логах следует искать строки с фиксированной конфигурацией клиента: версия операционной системы "Microsoft Windows 10 Pro 64-bit" и пустое значение поля domain. Все эти данные позволяют с высокой вероятностью определить, была ли предпринята атака.
Рекомендации для команд безопасности очевидны. Прежде всего нужно сверить версию PAN-OS с перечнем уязвимых релизов, опубликованным в официальном бюллетене Palo Alto Networks. Если устройство попало под угрозу, необходимо как можно быстрее установить исправление или применить временные меры обхода. Параллельно следует организовать активную охоту за приведёнными индикаторами в журналах GlobalProtect. При обнаружении успешного подключения, которое соответствует одному из описанных шаблонов, требуется немедленно запустить протокол реагирования на инцидент. Важно помнить, что даже одиночный сеанс VPN, инициированный с подозрительного адреса, может быть первым шагом для проникновения в сеть.
Дополнительно Palo Alto Networks рекомендует обратить внимание на инструменты собственной экосистемы. Например, платформа Cortex Xpanse способна самостоятельно находить публично доступные шлюзы PAN-OS и порталы GlobalProtect. Это помогает оценить поверхность атаки до того, как ею воспользуются злоумышленники. Компания также поделилась результатами расследования с участниками альянса Cyber Threat Alliance. Благодаря этому другие разработчики решений безопасности смогут быстрее внедрить защитные механизмы в свои продукты.
Ситуация вокруг CVE-2026-0257 лишний раз напоминает, что даже зрелые корпоративные платформы не застрахованы от серьёзных дефектов в коде. Уязвимость обхода аутентификации в таком чувствительном компоненте, как шлюз удалённого доступа, даёт атакующим прямой путь внутрь защищённого периметра. Отсутствие признаков пост-эксплуатационной активности не должно успокаивать - злоумышленники могли только разведывать возможности и ждать подходящего момента. Поэтому каждому владельцу оборудования PAN-OS следует провести немедленную проверку и принять меры, не дожидаясь формального уведомления от вендора. Только проактивный подход и своевременное обновление способны снизить риск компрометации корпоративной сети.
Индикаторы компрометации
IPv4
- 104.207.144.154
- 146.19.216.119
- 146.19.216.120
- 146.19.216.125
- 179.43.172.213
- 185.195.232.139
- 198.12.106.60
- 202.144.192.47
- 23.128.228.6
Mac Addresses
- aa:bb:cc:dd:ee:ff
- 00:11:22:33:44:55
Host Names
- WINDOWS-LAPTOP-001
- DESKTOP-GP01
- GP-CLIENT
