פאלו אלטו נטוורקס אומרת כי הפגיעה ב‑פאן-או-אס גלובלפרוטקט מנוצלת באופן פעיל
התקפות פעילות נגד VPN ארגוניים
פאלו אלטו נטוורקס מזהירה שהתקפים מנצלים באופן פעיל פגיעת עקיפת אימות ב‑פאן-או-אס גלובלפרוטקט שיכולה לאפשר להם לייסד חיבורי VPN לא מורשים במכשירים ארגוניים.
הפגיעה, שמתועדת כ‑CVE-2026-0257, תוקנה בתחילת החודש. פאלו אלטו נשאה להערכה תחילה שהיא ברמת חומרה בינונית, וציינה שניצול דרש שהמכשירים יהיו מוגדרים עם עוגיות עקיפת אימות פעילות ותצורת תעודה ספציפית. ביום שישי החברה עדכנה את ההודעה שלה, וציינה שהגיעה לידיעתה על ניסיונות ניצול מוגבלים נגד מכשירי פאן-או-אס שלא עודכנו וללא אמצעי הקלה, והגבירה את דרגת החומרה לגבוהה.
"פורטל ו‑gateway של גלובלפרוטקט בתוכנת פאן-או-אס של פאלו אלטו נטוורקס מאפשר לתוקף לעקוף הגבלות אבטחה ולכונן חיבור VPN לא מורשה," הודיעה החברה בהודעתה.
העדכון מגיע לאחר אזהרה נפרדת מראפיד7, שאמרה כי היא זיהתה ניצול מוצלח בקרב לקוחות רבים החל מה‑17 במאי. ראפיד7 ציינה שלא נצפו עדויות לתנועה צידית מוצלחת מהמכשירים המושפעים, אך ציינה שהפגיעות נוספה לקטלוג הפגיעויות הידועות כמנוצלות של CISA נכון ל‑29 במאי 2026.
לפי ראפיד7, ההתקפות השתמשו בעוגיות עקיפת אימות מזויפות כדי לאמת מול שערי גלובלפרוטקט ולטרגט את חשבון מנהל המערכת המקומי. החברה אמרה כי זיהתה ניצול לראשונה ב‑18 במאי מתשתית שמאוחסנת אצל וולטר, ואחר כך גל שני ב‑21 במאי שמקורו ב‑דרומטיקס סיסטמס.
במקרים מסוימים הצליחו התוקפים להתחבר למכשירים דרך ה‑VPN באמצעות עוגיות מזויפות ולהשיג גישה לרשתות פנימיות. באירועים אחרים התקן קיבל את העוגייה המזויפת אך לא נוצר מושב VPN מלא.
ראפיד7 אמרה שהמכשירים שנפגעו היו מוגדרים עם עוגיות עקיפת אימות של גלובלפרוטקט פעילות והוגדרו בצורה שאפשרה לתוקפים לזייף עוגיות תקפות. הבעיה נובעת מתהליך האימות של פאן-או-אס: התקן ה‑VPN מפענח את העוגייה עם מפתח פרטי שמוגדר ומאמין בתוכן המפוענח מבלי לבצע אימות חתימה. אם אותה תעודה משמשת גם לשירותי HTTPS וגם לעוגיות עקיפת האימות, תוקף יכול לקבל את המפתח הציבורי דרך חיבור ה‑HTTPS ולהשתמש בו ליצירת עוגייה שההתקן מקבל ככשרה.
מקורות:
Doppler VPN: 6 מיקומי שרתים, פרוטוקול VLESS, ללא מעקב. התחל בחינם.