Palo Alto Networks mengatakan kelemahan PAN-OS GlobalProtect sedang dieksploitasi secara aktif
Serangan aktif terhadap VPN perusahaan
Palo Alto Networks memberi amaran bahawa penyerang sedang aktif mengeksploitasi kelemahan pengelakan pengesahan PAN-OS GlobalProtect yang boleh membolehkan mereka menubuhkan sambungan VPN tanpa kebenaran pada peranti korporat.
Kelemahan itu, dikesan sebagai CVE-2026-0257, telah ditampal awal bulan ini. Palo Alto pada mulanya menilainya sebagai keparahan Sederhana, mengatakan eksploitasi memerlukan peranti dikonfigurasikan dengan kuki penggantian pengesahan diaktifkan dan susunan sijil tertentu. Pada hari Jumaat, syarikat itu mengubah nasihatnya, mengatakan ia telah sedar tentang percubaan eksploitasi terhad terhadap peranti PAN-OS yang belum ditampal dan tanpa mitigasi dan menaikkan isu itu kepada keparahan Tinggi.
"Portal dan gateway GlobalProtect pada perisian PAN-OS Palo Alto Networks membolehkan penyerang mengelakkan sekatan keselamatan dan menubuhkan sambungan VPN tanpa kebenaran," kata syarikat itu dalam nasihatnya.
Kemas kini itu mengikuti amaran berasingan dari Rapid7, yang mengatakan ia telah mengesan eksploitasi berjaya terhadap ramai pelanggan bermula 17 Mei. Rapid7 berkata ia tidak melihat bukti pergerakan lateral berjaya dari peranti yang terjejas, tetapi menyatakan bahawa kelemahan itu telah ditambah ke katalog CISA Known Exploited Vulnerabilities pada 29 Mei 2026.
Menurut Rapid7, serangan menggunakan kuki penggantian pengesahan yang dipalsukan untuk mengesahkan ke gerbang GlobalProtect dan menyasarkan akaun pentadbir tempatan. Syarikat itu berkata ia pertama kali melihat eksploitasi pada 18 Mei dari infrastruktur yang dihoskan oleh Vultr, diikuti oleh gelombang kedua pada 21 Mei yang berasal dari Dromatics Systems.
Dalam beberapa kes, penyerang berjaya menyambung ke peranti melalui VPN menggunakan kuki yang dipalsukan dan mendapat akses ke rangkaian dalaman. Dalam insiden lain, peranti menerima kuki yang dipalsukan tetapi sesi VPN penuh tidak dapat ditubuhkan.
Rapid7 berkata peranti yang terjejas mempunyai kuki penggantian pengesahan GlobalProtect diaktifkan dan dikonfigurasikan dengan cara yang membolehkan penyerang memalsukan kuki yang sah. Isu ini berpunca daripada proses pengesahan PAN-OS: peranti VPN menyahsulit kuki dengan kunci persendirian yang dikonfigurasikan dan mempercayai kandungan yang disahsulit tanpa melakukan pengesahan tandatangan. Jika sijil yang sama digunakan untuk kedua-dua perkhidmatan HTTPS dan kuki penggantian pengesahan, penyerang boleh memperoleh kunci awam melalui sesi HTTPS dan menggunakannya untuk membuat kuki yang diterima oleh peranti sebagai sah.
Sumber:
Doppler VPN: 6 server locations, VLESS protocol, zero tracking. Get started free.