Специалисты информационной безопасности получили тревожную новость. В операционной системе PAN-OS от компании Palo Alto Networks обнаружена критическая уязвимость, которая позволяет удалённо обходить существующие механизмы защиты. Речь идёт о компоненте Cloud Authentication Service, или, проще говоря, облачном сервисе аутентификации. Этот компонент отвечает за проверку подлинности пользователей при доступе к корпоративным ресурсам через межсетевые экраны Palo Alto.
Детали уязвимости
Уязвимость получила идентификатор CVE-2026-0265 и зарегистрирована в Банке данных угроз безопасности информации (BDU) под номером BDU:2026-07004. Её суть заключается в некорректной проверке криптографической подписи. Представьте себе ситуацию: вы получаете письмо, подпись на котором должна удостоверять, что оно от вашего начальника. Если механизм проверки подписи работает неправильно, злоумышленник может подделать её и выдать себя за другое лицо. Именно это происходит в уязвимом компоненте CAS. Нарушитель может подменить подпись при взаимодействии с облачным сервисом и получить доступ к системе, не имея на то прав.
Особую тревогу вызывает оценка опасности данной уязвимости. Согласно стандарту CVSS базовый балл по версии 3.1 составляет 9,8 из 10 возможных. Это наивысший критический уровень. Для эксплуатации злоумышленнику не нужны ни аутентификация, ни доступ к сети с правами пользователя. Ему достаточно лишь возможности отправить специально сформированный запрос по сети. В итоге атакующий может полностью скомпрометировать систему, получив доступ ко всем данным и возможность изменять настройки.
Важно понять масштаб проблемы, уточнив список затронутых версий PAN-OS. Вендор подтвердил, что уязвимость присутствует в десятках версий операционной системы. Среди них стабильные ветки 12.1, 11.2, 11.1 и 10.2. Например, уязвимы версии до 12.1.4-h5 и 12.1.7, а также практически все промежуточные сборки ветки 11.1 до версии 11.1.15. Похожая ситуация с версиями 10.2 - под ударом находятся сборки до 10.2.18-h6. Другими словами, проблема затронула практически всё активное семейство операционных систем Palo Alto Networks, выпущенных за последние несколько лет.
Впрочем, в этой истории есть и обнадеживающие новости. Уязвимость уже подтверждена производителем и устранена. Palo Alto Networks выпустила обновления безопасности, которые закрывают брешь. Специалистам по защите периметра необходимо как можно скорее обновить свои межсетевые экраны до исправленных версий. Соответствующие рекомендации доступны на официальном сайте безопасности компании. Более того, в открытом доступе уже появился эксплойт - готовая программа для проверки уязвимости. Это означает, что злоумышленники могут воспользоваться опубликованным кодом для атак на незащищённые системы.
Каковы же последствия успешной эксплуатации? Если нарушитель обходит аутентификацию в облачном сервисе, он получает полный контроль над межсетевым экраном. Это не просто доступ к логам или возможность менять политики. Атакующий может перенаправить трафик, установить закладки для долговременного присутствия в сети, изменить настройки VPN-соединений. В корпоративных сетях брандмауэры Palo Alto часто используются как центральный элемент защиты. Компрометация такого устройства ставит под удар всю инфраструктуру компании. Злоумышленник может не только украсть конфиденциальные данные, но и использовать скомпрометированный шлюз для атак на внутренние ресурсы, обходя системы обнаружения вторжений.
Стоит отметить и вектор атаки. Уязвимость CWE-347 - "некорректная проверка криптографической подписи" - относится к классу ошибок кода. Это не проблема конфигурации, а фундаментальный дефект в программной реализации. Именно поэтому её оценка так высока. Более того, эксплуатация не требует физического доступа или сложных социальных манипуляций. Достаточно отправить вредоносный запрос через интернет. Атака происходит удалённо, что делает её особенно опасной для компаний с распределённой сетевой инфраструктурой.
Что делать специалистам прямо сейчас? Прежде всего необходимо проверить версию установленной PAN-OS на всех межсетевых экранах вендора. Для этого можно использовать официальный скрипт-проверку, опубликованный на GitHub, или просто сверить версию с перечнем уязвимых сборок. Если устройство работает на одной из версий, указанных в рекомендациях, обновление должно быть выполнено в первоочередном порядке. Временных мер для защиты без установки патча производитель не предоставляет. Однако до обновления рекомендуется ограничить доступ к панели управления облачным сервисом по IP-адресам, а также усилить мониторинг входящих соединений. Особое внимание стоит уделить журналам аутентификации и попыткам входа в систему с использованием учётных записей с правами администратора.
В завершение хочется подчеркнуть: данная уязвимость - серьёзный сигнал для всех, кто использует продукты Palo Alto Networks. В отличие от многих других проблем, которые требуют сложных условий эксплуатации, CVE-2026-0265 проста в реализации и крайне опасна по последствиям. Наличие доказательства концепции в открытом доступе многократно увеличивает вероятность атак. Команды безопасности должны действовать быстро и решительно. Только установка актуальных обновлений гарантирует устранение угрозы. В современном ландшафте киберугроз промедление может стоить компании не только финансовых потерь, но и репутации.
Ссылки
- https://bdu.fstec.ru/vul/2026-07004
- https://www.cve.org/CVERecord?id=CVE-2026-0265
- https://security.paloaltonetworks.com/CVE-2026-0265
- https://github.com/tstephens1080/palo-alto-cve-2026-0265-checker
