Palo Alto Networks: aktibong ine-exploit ang kahinaan sa PAN-OS GlobalProtect
Aktibong mga pag-atake laban sa mga VPN ng enterprise
Nagbababala ang Palo Alto Networks na aktibong ine-exploit ng mga umaatake ang isang PAN-OS GlobalProtect na kahinaan sa pag-bypass ng pagpapatunay na maaaring payagan silang magtatag ng hindi awtorisadong mga koneksyon ng VPN sa mga corporate na aparato.
Ang bahaging ito ng kahinaan, na tinukoy bilang CVE-2026-0257, ay na-patch nitong buwan. Inuna ng Palo Alto ang pag-rate nito bilang Medium severity, at sinabi na ang pag-exploit ay nangangailangan na naka-configure ang mga aparato na may authentication override cookies na pinagana at may partikular na setup ng sertipiko. Noong Biyernes, binago ng kumpanya ang advisory, sinabi na nalaman nito ang limitadong mga pagtatangkang pag-exploit laban sa mga unpatched na PAN-OS device na walang mitigations at itininaas ang isyu sa High severity.
"Ang GlobalProtect portal at gateway ng Palo Alto Networks PAN-OS software ay nagpapahintulot sa umaatake na lampasan ang mga restriksiyon sa seguridad at magtatag ng isang hindi awtorisadong koneksyon ng VPN," sabi ng kumpanya sa advisory nito.
Ang update ay sumusunod sa hiwalay na babala mula sa Rapid7, na nagsabing naobserbahan nito ang matagumpay na pag-exploit sa maraming customer simula Mayo 17. Sinabi ng Rapid7 na hindi nito nakita ang ebidensya ng matagumpay na paggalaw pahalang sa loob ng network mula sa apektadong mga aparato, ngunit binanggit na idinagdag ang kahinaan sa CISA Known Exploited Vulnerabilities catalog noong Mayo 29, 2026.
Ayon sa Rapid7, ginamit ng mga pag-atake ang mga pekeng cookie ng pag-override ng pagpapatunay upang mag-authenticate sa mga GlobalProtect gateway at targetin ang lokal na account ng administrator. Sinabi ng kumpanya na unang nakita nito ang pag-exploit noong Mayo 18 mula sa infrastructure na naka-host ng Vultr, sinundan ng pangalawang alon noong Mayo 21 na nagmula sa Dromatics Systems.
Sa ilang kaso, nagawang kumonekta ng mga umaatake sa mga aparato sa pamamagitan ng VPN gamit ang mga pekeng cookie at makakuha ng access sa mga internal na network. Sa ibang insidente, tinanggap ng appliance ang pekeng cookie pero hindi nabuo ang buong VPN session.
Sinabi ng Rapid7 na ang mga apektadong aparato ay may GlobalProtect authentication override cookies na pinagana at naka-configure sa isang paraan na pinahihintulutan ang mga umaatake na mag-pekeng gumawa ng mga balidong cookie. Nagmumula ang isyu sa proseso ng pagpapatunay ng PAN-OS: dine-decrypt ng VPN device ang cookie gamit ang naka-configure na pribadong susi at pinagkakatiwalaan ang na-decrypt na nilalaman nang hindi isinasagawa ang pagpapatunay ng pirma. Kung ang parehong sertipiko ay ginagamit para sa parehong HTTPS na serbisyo at sa mga cookie na nag-o-override ng pagpapatunay, maaaring makuha ng umaatake ang publikong susi sa pamamagitan ng session ng HTTPS at gamitin ito upang lumikha ng cookie na tinatanggap ng device bilang lehitimo.
Sources:
Doppler VPN: 6 lokasyon ng server, VLESS protocol, walang pagsubaybay. Magsimula nang libre.