Специалисты по кибербезопасности получили тревожный сигнал. В популярной операционной системе для межсетевых экранов PAN-OS, а также в продуктах Prisma Access и Cloud NGFW (облачные межсетевые экраны нового поколения) от компании Palo Alto Networks обнаружена критическая уязвимость. Речь идёт о проблеме, зафиксированной в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-09556, а также в международном каталоге CVE под идентификатором CVE-2026-0288. Опасность этой ошибки крайне высока. Она позволяет злоумышленнику, действующему удалённо, полностью взять под контроль защищаемое устройство или вывести его из строя.
Детали уязвимости
В основе проблемы лежит ошибка, которая классифицируется как CWE-787, то есть запись за границами буфера. Если объяснять просто, то это ситуация, когда программа пытается записать больше данных, чем может поместиться в выделенную для хранения область памяти. В результате лишняя информация перезаписывает соседние участки памяти, что может привести к неожиданному поведению системы. В худшем случае атакующий может подменить эти данные на собственный вредоносный код и получить возможность выполнить его с привилегиями самой системы.
Конкретно в данном случае уязвимость затрагивает компонент User-ID Terminal Server Agent (TSA) в операционной системе PAN-OS и агент удалённого доступа Prisma Access Agent. TSA отвечает за идентификацию пользователей, работающих на терминальных серверах, и передачу этих данных на межсетевой экран для применения политик доступа. Именно обработка входящих данных в этом агенте и содержит дефект.
Масштаб проблемы впечатляет. Palo Alto Networks подтвердила, что уязвимость присутствует во множестве версий PAN-OS начиная от ветки 10.2 и заканчивая 12.1. В списке уязвимых продуктов значатся практически все актуальные сборки, включая PAN-OS версий 12.1.4-h8, 11.2.4-h20, 11.1.4-h35, 10.2.7-h36 и многие другие промежуточные релизы. Кроме того, под ударом находятся такие продукты, как Prisma Access (до версии 11.2.7-h18 и 10.2.10-h39) и облачные межсетевые экраны Cloud NGFW, развёрнутые в средах AWS и Azure.
Оценка серьёзности по международной шкале CVSS говорит сама за себя. По версии 3.1 рейтинг составляет максимальные 10 баллов, а по версии 4.0 - 9,2 балла, что соответствует критическому уровню опасности. Вектор атаки выглядит особенно пугающим: для эксплуатации уязвимости злоумышленнику не требуется никакой аутентификации или специального доступа к сети. Атака может быть проведена удалённо через сетевой протокол, при этом сложность её выполнения оценивается как низкая. Это означает, что написание работающего эксплойта (вредоносной программы для атаки) не потребует исключительных навыков, хотя на данный момент производитель сообщает, что данные о наличии готового эксплойта уточняются.
Последствия успешной атаки могут быть катастрофическими для компании. Уязвимость позволяет атакующему получить полный контроль над конфиденциальностью, целостностью и доступностью системы. Простыми словами, злоумышленник сможет не только украсть все данные, проходящие через межсетевой экран, но и изменить конфигурацию защиты, чтобы открыть доступ к внутренней сети, или же просто вызвать отказ в обслуживании, парализовав работу всей корпоративной инфраструктуры. Это прямой путь к крупной утечке данных и длительному простою бизнеса.
Хорошая новость заключается в том, что производитель уже выпустил исправления. Компания Palo Alto Networks опубликовала официальные рекомендации по устранению уязвимости на своём портале безопасности. Единственным надёжным способом защиты является обновление программного обеспечения до исправленных версий. Специалистам по информационной безопасности настоятельно рекомендуется незамедлительно проверить версии установленного ПО PAN-OS, Prisma Access и Cloud NGFW на всех устройствах своей инфраструктуры. Промедление в данном случае может стоить дорого, ведь речь идёт о бреши, которая фактически оставляет главный щит сети открытым для любых атак.
Ссылки
- https://bdu.fstec.ru/vul/2026-09556
- https://www.cve.org/CVERecord?id=CVE-2026-0288
- https://security.paloaltonetworks.com/CVE-2026-0288