Palo Alto Networks выпустила внеплановое обновление безопасности, устраняющее десять уязвимостей в операционной системе PAN-OS и связанных продуктах. Наибольшую опасность представляет ошибка переполнения буфера в компоненте User-ID Terminal Server Agent (TSA), которая позволяет неавторизованному злоумышленнику удаленно выполнить произвольный код или вызвать отказ в обслуживании. Обновления затронули также облачные версии межсетевых экранов Cloud NGFW на AWS и Azure, а также сервис Prisma Access.
Детали уязвимостей
Самая серьезная из обнаруженных проблем - CVE-2026-0288 - получила оценку 7,2 балла по шкале CVSS и статус HIGH. Уязвимость вызвана множественными ошибками переполнения буфера в компоненте TSA, который отвечает за сбор информации о пользователях с терминальных серверов. В случае эксплуатации отправка специально сформированного сетевого трафика позволяет атаковать систему без предварительной аутентификации. По данным Palo Alto Networks, уязвимость обнаружил внешний исследователь Лян Чжу. Производитель подчеркивает, что риск эксплуатации значительно снижается, если доступ к TSA ограничен только доверенными внутренними IP-адресами - это стандартная рекомендация по безопасному развертыванию.
Еще одна уязвимость высокой степени опасности - CVE-2026-0287 - затрагивает обработку сетевого трафика на уровне данных (dataplane). Она позволяет неавторизованному злоумышленнику вызвать отказ в обслуживании путем отправки специально сформированных пакетов через интерфейс или на него. При многократном повторении таких попыток межсетевой экран может перейти в режим обслуживания, что приведет к полной остановке фильтрации трафика. Эта проблема затронула не только PAN-OS, но и облачные версии Cloud NGFW на обеих платформах - AWS и Azure. Для Prisma Access риск оценивается как средний, поскольку сервис имеет встроенную защиту от подобных атак.
Уязвимость CVE-2026-0280 связана с обработкой IPv6-пакетов в плоскости данных PAN-OS. Она позволяет неавторизованному злоумышленнику обходить политики безопасности межсетевого экрана, пропуская трафик, который должен быть заблокирован. Проблема актуальна только для тех устройств, на которых IPv6 включен хотя бы на одном интерфейсе. Временной мерой защиты может служить включение настройки set deviceconfig setting session tcp-reject-non-syn yes, которая блокирует не-SYN пакеты TCP.
Две уязвимости в функциональности Large Scale VPN (LSVPN) - CVE-2026-0283 и CVE-2026-0284 - получили средний уровень опасности. Первая позволяет обойти аутентификацию и установить несанкционированное VPN-соединение между узлами. Вторая связана с XML-инъекцией: неавторизованный злоумышленник может внедрить вредоносное XML-содержимое, что приведет к утечке информации или повреждению внутренних данных спутников LSVPN. Обе проблемы затрагивают только устройства, на которых настроены спутники LSVPN. Для проверки конфигурации Palo Alto Networks рекомендует выполнить команду show config running | match satellite в командной строке PAN-OS.
Среди уязвимостей веб-интерфейса управления стоит отметить CVE-2026-0279 - множественные ошибки межсайтового скриптинга (XSS) в портале аутентификации User-ID, шлюзе GlobalProtect и клиентском VPN. Злоумышленник может сохранить или выполнить вредоносный код JavaScript. Уязвимость CVE-2026-0281 позволяет получить токены веб-сессий, если легитимный пользователь перейдет по вредоносной ссылке. CVE-2026-0282 дает возможность удалять файлы из временной директории без аутентификации. Еще одна проблема - CVE-2026-0285, серверная подделка запросов (SSRF), которая требует прав администратора, но позволяет выполнять несанкционированные запросы к внутренним сервисам.
Уязвимость CVE-2026-0286 - внедрение команд в CLI PAN-OS - также требует прав администратора, но позволяет выполнять произвольные команды операционной системы с правами root. Это средняя по опасности проблема, однако при компрометации учетной записи администратора она становится критической.
Производитель настоятельно рекомендует обновить PAN-OS до версий 11.1.16, 11.2.13 или 12.1.8 в зависимости от используемой ветки. Для версии 10.2, которая не получит исправлений, необходимо обновление до одной из указанных поддерживаемых версий. Для Prisma Access Palo Alto Networks выполнит обновление в рамках планового цикла обслуживания, но клиенты могут запросить внеочередное обновление через службу поддержки.
По данным компании, на момент публикации не зафиксировано случаев эксплуатации этих уязвимостей в реальных атаках. Однако учитывая характер угрозы CVE-2026-0288 и возможность удаленного выполнения кода, администраторам стоит как можно скорее обновить свои системы, особенно те, где используется компонент Terminal Server Agent.
Ссылки
- https://security.paloaltonetworks.com/CVE-2026-0279/
- https://security.paloaltonetworks.com/CVE-2026-0280/
- https://security.paloaltonetworks.com/CVE-2026-0281/
- https://security.paloaltonetworks.com/CVE-2026-0282/
- https://security.paloaltonetworks.com/CVE-2026-0283/
- https://security.paloaltonetworks.com/CVE-2026-0284/
- https://security.paloaltonetworks.com/CVE-2026-0285/
- https://security.paloaltonetworks.com/CVE-2026-0286/
- https://security.paloaltonetworks.com/CVE-2026-0287/
- https://security.paloaltonetworks.com/CVE-2026-0288/