Критические уязвимости в продуктах Palo Alto Networks: от удаленного выполнения кода до обхода аутентификации

Очередная массовая волна уязвимостей затронула экосистему Palo Alto Networks. Вендор выпустил сразу несколько десятков патчей для своих ключевых продуктов. Речь идет об операционной системе PAN-OS, клиенте удаленного доступа GlobalProtect и облачных сервисах Prisma Access. Набор ошибок впечатляет: от классических переполнений буфера до обхода аутентификации и подлога сертификатов. Наиболее критичными выглядят уязвимости, позволяющие удаленно выполнить код без какой-либо авторизации. Но и без них список проблем заставляет администраторов понервничать.

Детали уязвимостей

Самую высокую оценку опасности получила уязвимость CVE-2026-0264 в DNS-прокси и DNS-сервере PAN-OS. Проблема, обнаруженная внешними исследователями, представляет собой переполнение буфера в куче при обработке специально сформированных DNS-запросов. Для атаки не требуется ни аутентификация, ни взаимодействие с жертвой. Более того, сценарий автоматизируем - злоумышленник может просто отправить вредоносный пакет на уязвимый межсетевой экран. На аппаратных платформах PA-Series это грозит выполнением произвольного кода с повышенными привилегиями. Для VM-Series последствия ограничены отказом в обслуживании, но и это ведет к простою бизнес-критичных систем.

Угроза усугубляется тем, что DNS-прокси включен по умолчанию на многих устройствах или настраивается для ускорения работы сети. Единственным относительным утешением служит высокий порог сложности эксплуатации - для успешной атаки требуется определенное стечение обстоятельств. Тем не менее вендор присвоил уязвимости наивысший приоритет устранения.

Практически одновременно с этим была раскрыта уязвимость CVE-2026-0265 в облачной службе аутентификации PAN-OS. Она позволяет неавторизованному злоумышленнику обойти проверку подлинности, если в настройках включен Cloud Authentication Service (CAS). Проблема кроется в некорректной проверке криптографической подписи. Атака возможна по сети и не требует сложных манипуляций. Особенно высок риск для устройств, чей веб-интерфейс управления доступен из интернета. Получив контроль над панелью управления брандмауэром, злоумышленник может полностью перехватить управление сетью. Компания настоятельно рекомендует ограничить доступ к интерфейсу управления только доверенными внутренними IP-адресами.

Критический характер носит и уязвимость CVE-2026-0263 в обработке IKEv2 (протокол настройки защищенных VPN-соединений между сайтами). Переполнение буфера в этом компоненте позволяет неавторизованному атакующему выполнить код на межсетевом экране. Правда, для эксплуатации требуется особая конфигурация - использование постквантовых шифров, не одобренных NIST (Национальный институт стандартов и технологий США). Такая конфигурация встречается редко, но сам факт наличия подобной уязвимости свидетельствует о сложности кодовой базы PAN-OS.

Отдельного внимания заслуживает серия уязвимостей в клиенте GlobalProtect, который используется миллионами сотрудников для удаленного доступа к корпоративным ресурсам. Здесь обнаружены проблемы с проверкой сертификатов (CVE-2026-0249), переполнение буфера (CVE-2026-0250) и локальное повышение привилегий (CVE-2026-0251). Первая уязвимость позволяет атакующему в той же подсети перехватить зашифрованный трафик и внедрить вредоносное программное обеспечение на устройство пользователя. Вторая - выполнить код с системными привилегиями Windows и root-доступом на macOS и Linux. Третья дает возможность локальному пользователю без прав администратора получить полный контроль над системой. Особенно опасна комбинация этих уязвимостей: если злоумышленник уже имеет доступ к локальной сети, он может сначала установить контроль над устройством через уязвимость в GlobalProtect, а затем использовать его как плацдарм для атаки на всю корпоративную инфраструктуру.

Не обошлось и без классических веб-уязвимостей. В веб-интерфейсе PAN-OS обнаружена уязвимость, связанная с межсайтовым скриптингом (XSS) (CVE-2026-0256). Она позволяет авторизованному администратору внедрить вредоносный JavaScript-код. На первый взгляд угроза невелика, так как требует наличия учетной записи. Однако в сочетании с социальной инженерией или атакой на сессию администратора это может привести к компрометации всей системы управления.

Кроме того, вPAN-OS найдена уязвимость, связанная с подделкой запросов со стороны сервера (SSRF) (CVE-2026-0258). Она затрагивает реализацию IKEv2 и позволяет неавторизованному атакующему заставить межсетевой экран отправлять запросы на произвольные внутренние ресурсы. Это классический вектор для разведки сети и обхода сегментации.

Обширный список проблем завершают уязвимости, вызывающие отказ в обслуживании (DoS) при обработке специально сформированного сетевого трафика (CVE-2026-0262). Они затрагивают все версии PAN-OS начиная с 10.2. Хотя эксплуатация не приводит к утечке данных, потеря связи с межсетевым экраном может парализовать работу целого сегмента сети.

В целом, майский набор патчей от Palo Alto Networks - один из самых масштабных за последнее время. Он затрагивает практически все линейки продуктов: от персональных VPN-клиентов до корпоративных межсетевых экранов и облачных шлюзов. Вендор не сообщает об активной эксплуатации этих уязвимостей в дикой природе, однако набор ошибок выглядит привлекательно для атакующих. Особенно опасна комбинация критической уязвимости в PAN-OS и возможности локального повышения привилегий в GlobalProtect. Администраторам рекомендуется как можно скорее обновить как операционную систему брандмауэров, так и клиентские приложения. Для тех, кому обновление недоступно или отложено, следует немедленно применить временные меры защиты: ограничить доступ к интерфейсу управления, отключить неиспользуемые функции DNS-прокси и IKEv2, а также ограничить входящие соединения до минимально необходимого набора IP-адресов.

Детали уязвимостей

Сссылки