Компания Palo Alto Networks подтвердила наличие уязвимости в своем VPN-клиенте GlobalProtect, которая позволяет злоумышленникам повышать привилегии и устанавливать вредоносное ПО на уязвимые системы. Проблема, получившая идентификатор CVE-2025-2183, была раскрыта 13 августа 2025 года и затрагивает несколько версий приложения для Windows и Linux.
Суть уязвимости
Уязвимость связана с недостаточной проверкой сертификатов в приложении GlobalProtect. Это позволяет атакующим перенаправлять соединение на контролируемые ими серверы. Эксплуатация уязвимости возможна локально непривилегированными пользователями или злоумышленниками, находящимися в той же сетевой подсети.
После успешной атаки злоумышленники могут установить поддельные корневые сертификаты на целевые устройства. Это открывает возможность развертывания вредоносного ПО, подписанного их собственными центрами сертификации, что обходит стандартные механизмы защиты.
Уровень угрозы и условия эксплуатации
Palo Alto Networks присвоила уязвимости оценку CVSS 4.5, что соответствует среднему уровню опасности. Атака классифицируется как "локальная" (Adjacent Network), то есть для успешной эксплуатации злоумышленник должен находиться в одной сети с целевой системой.
Компания не обнаружила свидетельств активного использования уязвимости в реальных атаках - проблема была выявлена в ходе внутренних исследований.
Затронутые версии и обновления
Уязвимость затрагивает GlobalProtect App на платформах Windows и Linux, тогда как версии для Android, iOS и macOS не подвержены данной проблеме. Palo Alto Networks выпустила обновления для устранения уязвимости:
- Windows-пользователям рекомендуется обновиться до версий 6.3.3-h2 или 6.2.8-h3 в зависимости от текущей установленной версии.
- Linux-пользователям необходимо установить 6.3.3 или более позднюю версию.
Дополнительные рекомендации по защите
Помимо обновлений, компания советует внести дополнительные настройки для усиления защиты:
- Проверка сертификатов через хранилище ОС - необходимо убедиться, что сертификаты шлюзов и порталов проходят проверку через системное хранилище сертификатов.
- Удаление ненадежных сертификатов - следует очистить список доверенных корневых центров сертификации от подозрительных записей.
- Включение строгой проверки сертификатов - рекомендуется активировать дополнительные механизмы проверки для предотвращения атак с подменой сертификатов.
Значение уязвимости для корпоративной безопасности
Данная уязвимость подчеркивает важность корректной проверки сертификатов в корпоративных VPN-решениях, которые являются ключевым элементом защиты удаленного доступа. Даже средний уровень угрозы не должен игнорироваться, учитывая возможность эскалации привилегий и последующего заражения систем.
Организациям, использующим GlobalProtect, следует немедленно применить обновления и проверить настройки безопасности, чтобы минимизировать риски, связанные с этой уязвимостью.
