Palo Alto Networks: PAN-OS GlobalProtect açığı aktif olarak istismar ediliyor
Kurumsal VPN'lere yönelik aktif saldırılar
Palo Alto Networks, PAN-OS GlobalProtect kimlik doğrulama atlama zafiyetinin saldırganlar tarafından aktif olarak istismar edildiği konusunda uyarıda bulunuyor; bu zafiyet kurumsal cihazlarda yetkisiz VPN bağlantıları kurulmasına olanak verebiliyor.
CVE-2026-0257 olarak takip edilen bu hata bu ayın başında yamalandı. Palo Alto başlangıçta bu hatayı Orta (Medium) derecede bir önemle değerlendirmiş, sözü edilen istismarın cihazların authentication override cookie (kimlik doğrulama geçersiz kılma çerezi) özelliğinin etkinleştirilmiş olmasını ve belirli bir sertifika yapılandırmasını gerektirdiğini belirtmişti. Cuma günü ise şirket tavsiyesini güncelleyerek, mitigasyon uygulanmamış PAN-OS cihazlarına yönelik sınırlı istismar denemelerinin farkına vardığını ve durumu Yüksek (High) önem derecesine yükselttiğini açıkladı.
"GlobalProtect portal ve gateway'i içeren Palo Alto Networks PAN-OS yazılımı, saldırganın güvenlik kısıtlamalarını atlayarak yetkisiz bir VPN bağlantısı kurmasına izin veriyor," şirket tavsiyesinde belirtti.
Bu güncelleme, Rapid7'nin ayrı bir uyarısını takip ediyor; Rapid7, 17 Mayıs itibarıyla birçok müşteri arasında başarılı istismar gözlemlediğini söyledi. Rapid7, etkilenen cihazlardan başarılı yatay hareket (lateral movement) kanıtı görmediğini belirtse de, zafiyetin 29 Mayıs 2026 itibarıyla CISA Bilinen İstismar Edilen Zafiyetler kataloğuna eklendiğini kaydetti.
Rapid7'ye göre saldırılar, GlobalProtect gateway'lerine doğrulama için sahte authentication override cookie'leri kullanarak yapılmış ve hedef olarak yerel yönetici (local administrator) hesabı seçilmiş. Şirket, ilk istismarı 18 Mayıs'ta Vultr tarafından barındırılan altyapıdan; ikinci dalgayı ise 21 Mayıs'ta Dromatics Systems kaynaklı olarak gördüğünü bildirdi.
Bazı durumlarda saldırganlar sahte çerezleri kullanarak VPN üzerinden cihazlara bağlanmayı başararak iç ağlara erişim elde edebildi. Diğer vakalarda ise cihaz sahte çerezi kabul etti ancak tam bir VPN oturumu kurulamadı.
Rapid7, etkilenen cihazlarda GlobalProtect authentication override cookie'lerinin etkin olduğunu ve saldırganların geçerli çerezler üretebilmesine izin veren bir yapılandırma olduğunu belirtti. Sorun PAN-OS'nin doğrulama sürecinden kaynaklanıyor: VPN cihazı çerezi yapılandırılmış bir özel anahtar (private key) ile çözmekte ve çözülen içeriğe imza doğrulaması yapmadan güveniyor. Aynı sertifika hem HTTPS hizmetleri hem de authentication override cookie'leri için kullanılıyorsa, bir saldırgan HTTPS oturumu üzerinden açık anahtarı (public key) elde edip cihazın meşru kabul edeceği bir çerez oluşturmak için bunu kullanabiliyor.
Kaynaklar:
Doppler VPN: 6 sunucu konumu, VLESS protokolü, sıfır takip. Ücretsiz başlayın.