В Банке данных угроз безопасности информации (BDU) зарегистрирована серьёзная уязвимость в клиентском программном обеспечении компании Palo Alto Networks. Речь идёт о компоненте Prisma Access Agent. Этот агент используется для удалённого доступа сотрудников к корпоративным приложениям и внутренним ресурсам компании. Проще говоря, это программа, которую устанавливают на ноутбук или смартфон, чтобы безопасно подключаться к офисной сети из любой точки мира. Уязвимость получила идентификаторы BDU:2026-07178 и CVE-2026-0248.
Детали уязвимости
Согласно описанию, проблема кроется в механизме проверки подлинности цифровых сертификатов. Если этот механизм работает некорректно, злоумышленник может перехватить трафик между пользователем и корпоративной сетью. На практике это означает реализацию атаки типа "человек посередине". Представьте, что вы отправляете письмо, а кто-то незаметно его вскрывает, читает, подменяет содержимое и запечатывает обратно. Вы считаете, что общаетесь напрямую с офисом, но на самом деле вся информация проходит через злоумышленника. В корпоративной среде это особенно опасно, ведь через такой канал можно украсть учётные данные, перехватить финансовые документы или внедрить вредоносный код.
Уязвимость затрагивает все версии Prisma Access Agent до версии 26.2.1 включительно. Причём список уязвимых платформ крайне тревожный. Это не только Android, но и Chrome OS. Последняя всё активнее используется в корпоративном секторе, особенно в образовании и среди мобильных сотрудников на Chromebook. Самый сложный сценарий возникает, когда устройство с уязвимым агентом подключается к корпоративной сети через общедоступный Wi-Fi, например в аэропорту или кафе. В такой ситуации злоумышленник, находящийся в той же беспроводной сети, может без особых усилий провести атаку.
Разберём суть ошибки. В классификации CWE она обозначена номером CWE-205 и описана как "Утечка информации в результате расхождений в поведении". Звучит сложно, но смысл прост: если программа при проверке сертификата ведёт себя неожиданным образом и сообщает злоумышленнику лишние данные, тот может использовать эту информацию для подмены сертификата. По сути, агент неверно оценивает, кому можно доверять, и позволяет нелегитимному серверу выдать себя за настоящий корпоративный шлюз.
Сейчас самое важное - оценка серьёзности. Оценки по разным версиям международного стандарта CVSS различаются. По CVSS 3.1 рейтинг составляет 9,6 балла из 10. Это критический уровень. Вектор атаки показывает, что для эксплуатации не требуется никаких привилегий, а сложность атаки низкая. Злоумышленнику достаточно находиться в одной сети с жертвой. Особого внимания заслуживает оценка по шкале 4.0. Она фиксирует, что хотя конфиденциальность и целостность трафика страдают сильно, доступность системы не снижается. Это значит, что атака может оставаться незамеченной для пользователя. Программа не выдаст ошибок и не прекратит работу. Жертва продолжит работать как ни в чём не бывало, а злоумышленник будет собирать данные.
Способ эксплуатации уже уточнён: это несанкционированный сбор информации. Эксплойт пока не опубликован, но это вопрос времени. Как показывает практика, после публикации такой уязвимости в открытых базах данных киберпреступники обычно быстро создают рабочие инструменты.
Производитель уже подтвердил наличие проблемы. Более того, Palo Alto Networks выпустила исправление в версии 26.2.1. Ссылка на рекомендации по обновлению опубликована на официальном портале безопасности компании. Там же указан статус - уязвимость устранена. Однако это не повод расслабляться. Многие корпорации обновляют клиентские агенты с задержкой, а некоторые и вовсе игнорируют патчи, если агент установлен на личных устройствах сотрудников по модели BYOD. Именно такие устройства становятся слабым звеном.
Кого в первую очередь касается эта новость? Любые организации, использующие Palo Alto Networks Prisma Access для удалённой работы. Это типичное решение для крупных компаний с территориально распределёнными офисами и мобильными сотрудниками. В зоне риска промышленные предприятия, финансовые организации, государственные учреждения, которые перешли на удалённый доступ через Chromebook или Android-устройства.
Что делать специалистам по информационной безопасности? В первую очередь немедленно проверить версии установленного Prisma Access Agent на всех конечных устройствах. Если версия ниже 26.2.1, необходимо организовать принудительное обновление. При этом стоит помнить, что обновление на мобильных устройствах зачастую требует участия самого пользователя. Поэтому потребуется рассылка уведомлений и, возможно, временное ограничение доступа для устройств с неустранённой уязвимостью.
Кроме того, на время до установки патча стоит усилить контроль за трафиком в сегменте удалённого доступа. Желательно внедрить многофакторную аутентификацию на всех уровнях, а также включить детальное логирование событий агента. Это поможет вовремя обнаружить подозрительную активность.
В долгосрочной перспективе стоит задуматься о регулярной инвентаризации версий всех корпоративных агентов. Проблема CVE-2026-0248 лишний раз напоминает, что уязвимости в клиентском программном обеспечении зачастую опаснее, чем уязвимости на серверах. Агент работает на устройстве пользователя вне периметра корпоративной сети, и именно эту точку контроля легко упустить из виду.
Ссылки
- https://bdu.fstec.ru/vul/2026-07178
- https://www.cve.org/CVERecord?id=CVE-2026-0248
- https://security.paloaltonetworks.com/CVE-2026-0248
