Корпорация Palo Alto Networks раскрыла информацию об уязвимости в операционной системе PAN-OS для своих межсетевых экранов. Ошибка позволяет удаленным злоумышленникам инициировать повторяющиеся перезагрузки устройства, что потенциально может ввергнуть его в так называемый «цикл перезагрузки», завершающийся переходом в режим технического обслуживания.
Детали уязвимости
Проблема, получившая идентификатор CVE-2026-0229, была обнаружена внутренними специалистами компании. Обновленное уведомление о безопасности было опубликовано 11 февраля 2026 года. Уязвимость относится к типу «Отказ в обслуживании» (Denial of Service, DoS) и классифицируется по стандарту CWE-754. Для ее эксплуатации атакующему не требуются учетные данные или взаимодействие с пользователем. Однако, успешная атака способна серьезно повлиять на высокую доступность критической инфраструктуры безопасности.
Ошибка кроется в функции Advanced DNS Security (ADNS). Она может быть спровоцирована с помощью специально сформированного вредоносного сетевого пакета. Если попытки инициировать перезагрузку будут повторяться, межсетевой экран может перейти в режим технического обслуживания. Это состояние приводит к остановке проверки трафика и нарушает сетевое подключение, полностью парализуя защиту сегмента сети.
Важно отметить, что не все развертывания уязвимы. Во-первых, функция ADNS должна быть активна на устройстве. Во-вторых, должен использоваться профиль безопасности от шпионского ПО, в котором для действий установлено значение «блокировать», «перенаправлять в песочницу» (sinkhole) или «оповещать» - то есть любое действие, кроме «разрешить». Таким образом, наиболее подвержены риску те среды, где активно применяются защиты на основе ADNS. Компания также уточняет, что облачные решения Cloud NGFW и Prisma Access не затронуты, что сужает круг риска до определенных локальных и самостоятельно управляемых установок PAN-OS.
На момент раскрытия информации о случаях злонамеренного использования уязвимости в реальных атаках известно не было. Уровень зрелости эксплуатации оценен как недоказанный. Palo Alto Networks присвоила уязвимости средний уровень серьезности с умеренной срочностью реагирования. Базовый балл по шкале CVSS v3.1 составляет 6.6.
В качестве основного и единственного способа устранения угрозы вендор рекомендует обновление до защищенных версий ПО. Для ветки 12.1 необходимо установить PAN-OS 12.1.4 или более позднюю версию, а для ветки 11.2 - PAN-OS 11.2.10 или новее. Обходных путей решения проблемы не существует. Компания отдельно указывает, что создание сигнатуры для модуля Threat Prevention невозможно из-за характера данной ошибки. Следовательно, установка патча является первостепенной задачей для администраторов.
Специалистам по кибербезопасности рекомендуется предпринять несколько шагов. Во-первых, необходимо провести инвентаризацию межсетевых экранов с включенной функцией ADNS. Во-вторых, следует подтвердить использование уязвимых версий PAN-OS. После этого нужно запланировать установку обновлений в соответствии с политиками изменения конфигурации. Кроме того, важно усилить мониторинг устройств на предмет неожиданных перезагрузок или повторяющихся рестартов, которые могут свидетельствовать о попытках злоупотребления данной уязвимостью. Своевременное обнаружение таких аномалий может помочь предотвратить полный отказ службы.
