Palo Alto Networks выпустила срочные обновления безопасности для устранения критической уязвимости типа «отказ в обслуживании» (Denial-of-Service, DoS) в своей операционной системе PAN-OS. Данная проблема позволяет неавторизованным злоумышленникам выводить из строя межсетевые экраны с активированным VPN-шлюзом GlobalProtect, что приводит к остановке обработки трафика и нарушению доступности сети. Уязвимость, получившая идентификатор CVE-2026-0227, имеет высокий базовый балл CVSS 8.7.
Детали уязвимости
Согласно официальному сообщению компании, ошибка затрагивает как локальные межсетевые экраны нового поколения (Next-Generation Firewalls, NGFW) на PAN-OS, так и облачные развертывания Prisma Access. Однако, условием для эксплуатации является активный шлюз или портал GlobalProtect. Следовательно, среды, не использующие этот VPN-сервис, не подвержены риску. Проблема кроется в некорректной проверке нестандартных условий в реализации компонента GlobalProtect (CWE-754), что позволяет злоумышленнику злоупотреблять существующей функциональностью (CAPEC-210).
Эксплуатация этой логической ошибки через сеть приводит к состоянию DoS. Целевой межсетевой экран перестает обрабатывать трафик. При повторных атаках устройство может перейти в режим технического обслуживания, для выхода из которого уже потребуется вмешательство администратора. Palo Alto Networks отмечает, что на текущий момент нет свидетельств активного злонамеренного использования уязвимости в реальных атаках. Тем не менее, существует доказательство концепции (Proof-of-Concept, PoC) эксплойта, что повышает потенциальные риски.
Компания оценивает серьезность уязвимости как HIGH («высокую»). В более детальной разбивке по CVSS 4.0 предложенная срочность исправления указана как MODERATE («умеренная»). Однако, учитывая отсутствие временных решений или методов смягчения, организациям следует отнестись к патчингу как к приоритетной задаче. Успешная атака может привести к отключению периметровых средств защиты и масштабным сетевым сбоям.
Затронутыми являются несколько веток PAN-OS, включая версии 10.1, 10.2, 11.1, 11.2 и 12.1. Облачное решение Cloud NGFW в список уязвимых продуктов не попало. Для клиентов Prisma Access риску подвержены версии 11.2 до 11.2.7-h8 и 10.2 до 10.2.10-h29. Компания сообщает, что большинство клиентов уже обновлено, а для остальных запланирован стандартный процесс апгрейда.
Palo Alto Networks настоятельно рекомендует пользователям обновиться до ближайшей исправленной версии. Например, пользователям ветки 12.1.0-12.1.3 следует перейти на 12.1.4 или новее. Для версий 11.2.8-11.2.10 необходимо установить патч 11.2.10-h2 или последующие обновления. Клиентам, использующим устаревшие и неподдерживаемые версии PAN-OS, следует перейти на поддерживаемую и исправленную ветку. Своевременная установка обновлений остается ключевым и единственным эффективным способом защиты от потенциальных атак, использующих данную уязвимость.
Ссылки
