Palo Alto Networks сообщает, что уязвимость PAN-OS GlobalProtect активно эксплуатируется
Активные атаки против корпоративных VPN
Palo Alto Networks предупреждает, что злоумышленники активно эксплуатируют уязвимость обхода аутентификации в PAN-OS GlobalProtect, которая позволяет устанавливать неавторизованные VPN‑соединения на корпоративных устройствах.
Уязвимость, зарегистрированная как CVE-2026-0257, была исправлена в начале этого месяца. Изначально Palo Alto оценила её как среднюю по критичности, указав, что эксплуатация требовала включённых cookies обхода аутентификации и определённой конфигурации сертификатов. В пятницу компания обновила своё уведомление, сообщив, что узнала о ограниченных попытках эксплуатации на незащищённых устройствах PAN-OS и повысила уровень критичности до высокого.
«GlobalProtect portal и gateway программного обеспечения Palo Alto Networks PAN-OS позволяют злоумышленнику обойти ограничения безопасности и установить неавторизованное VPN‑соединение», — сказано в уведомлении компании.
Обновление последовало за отдельным предупреждением от Rapid7, которая заявила, что наблюдала успешную эксплуатацию у множества клиентов начиная с 17 мая. Rapid7 не зафиксировала свидетельств успешного латерального перемещения (lateral movement) с поражённых устройств, но отметила, что уязвимость была добавлена в каталог CISA Known Exploited Vulnerabilities по состоянию на 29 мая 2026 года.
По данным Rapid7, атаки использовали поддельные cookies обхода аутентификации для аутентификации на GlobalProtect gateways и нацеливались на локальную учётную запись администратора. Компания сообщила, что впервые зафиксировала эксплуатацию 18 мая с инфраструктуры, размещённой на Vultr, а затем вторая волна последовала 21 мая и исходила от Dromatics Systems.
В некоторых случаях злоумышленникам удавалось подключиться к устройствам через VPN, используя поддельные cookies, и получить доступ к внутренним сетям. В других инцидентах устройство принимало поддельный cookie, но полноценная VPN‑сессия не устанавливалась.
Rapid7 отметила, что затронутые устройства имели включённые cookies обхода аутентификации GlobalProtect и были настроены таким образом, что злоумышленники могли подделывать валидные cookies. Проблема связана с процессом валидации в PAN-OS: VPN‑устройство расшифровывает cookie с помощью настроенного приватного ключа и доверяет расшифрованному содержимому без проверки подписи. Если тот же сертификат используется и для HTTPS‑сервисов, и для cookies обхода аутентификации, злоумышленник может получить публичный ключ через HTTPS‑сессию и использовать его для создания cookie, которое устройство примет за легитимное.
Источники:
Doppler VPN: 6 местоположений серверов, протокол VLESS, отсутствие слежки. Начать бесплатно.