Компанія Palo Alto Networks підтвердила активну експлуатацію вразливості CVE-2026-0257 (CVSS 7.8) у продуктах PAN-OS і Prisma Access. Вразливість дозволяє зловмиснику обійти автентифікацію в компонентах GlobalProtect portal і gateway та встановити несанкціоноване VPN-з’єднання з внутрішньою мережею організації. За даними Rapid7, успішну експлуатацію зафіксовано у багатьох клієнтів, починаючи з 17 травня 2026 року. Організаціям, які використовують GlobalProtect з увімкненою функцією перевизначення автентифікації через cookie, необхідно негайно встановити патч або застосувати тимчасові заходи захисту.
Технічні деталі вразливості
Згідно з офіційним бюлетенем Palo Alto Networks, опублікованим 13 травня 2026 року, вразливість являє собою обхід автентифікації в компонентах GlobalProtect portal і gateway програмного забезпечення PAN-OS. Експлуатація дає змогу атакувальному обійти механізми безпеки та встановити неавторизоване VPN-підключення до захищеної мережі.
Для успішної експлуатації необхідне одночасне виконання кількох умов:
- На міжмережевому екрані налаштовано GlobalProtect portal або gateway
- Увімкнена функція перевизначення автентифікації через cookie (authentication override cookies)
- Використовується певна конфігурація сертифікатів
Оцінка CVSS 7.8 класифікує вразливість як середню за шкалою критичності, однак її реальний потенціал впливу значно вищий за формальний рейтинг. Обхід автентифікації на периметровому VPN-пристрої фактично надає атакувальному прямий доступ до внутрішньої мережі — це робить вразливість стратегічно критичною для будь-якої організації, яка використовує GlobalProtect як основний механізм віддаленого доступу.
Хронологія експлуатації
29 травня 2026 року Palo Alto Networks оновила бюлетень безпеки, зазначивши, що компанії стало відомо про «обмежені спроби експлуатації на непатчених пристроях PAN-OS без застосованих заходів пом’якшення».
Докладнішу картину представила компанія Rapid7 у своєму дослідницькому звіті. За даними дослідників, успішну експлуатацію було зафіксовано у численних клієнтів компанії, причому атаки відбувалися у два етапи:
- Перша хвиля — початок експлуатації зафіксовано 17 травня 2026 року, лише через чотири дні після публікації бюлетеня
- Друга хвиля — 21 травня 2026 року, з більш просунутим сценарієм атаки
За оцінкою Rapid7, обидві хвилі, ймовірно, є роботою одного й того самого зловмисника, хоча конкретне угруповання не ідентифіковане. У другій хвилі атак, як повідомляється, у двох випадках спостерігалося призначення VPN IP-адреси після автентифікації через cookie, що означало отримання атакувальним повноцінного доступу до внутрішньої мережі. Водночас дослідники зазначають, що подальшої шкідливої активності в скомпрометованих середовищах зафіксовано не було.
Оцінка впливу
Відсутність помітної постексплуатаційної активності не повинна вводити в оману. Існує кілька пояснень цьому факту: атакувальний міг проводити розвідку для подальших цілеспрямованих операцій, збирати облікові дані VPN-сесій для перепродажу на тіньових ринках або ж активність просто не була виявлена засобами моніторингу.
Особливу небезпеку вразливість становить для організацій, у яких GlobalProtect є єдиним периметровим механізмом віддаленого доступу. Успішний обхід автентифікації в такому разі еквівалентний отриманню легітимного VPN-доступу співробітника — з відповідними мережевими привілеями та можливістю горизонтального переміщення.
Чотириденний інтервал між публікацією бюлетеня (13 травня) та першою зафіксованою експлуатацією (17 травня) демонструє мінімальне вікно для реагування. Організації, які не застосували патч або тимчасові заходи в перші дні після розкриття, опинилися під безпосередньою загрозою.
Рекомендації щодо захисту
Palo Alto Networks пропонує два варіанти тимчасових заходів до встановлення повноцінного патча:
- Вимкнути функцію перевизначення автентифікації (authentication override) — це повністю усуває вектор атаки, але може вплинути на зручність для користувачів під час повторних VPN-підключень
- Згенерувати новий сертифікат, який використовується виключно для функції перевизначення автентифікації — це дає змогу зберегти функціональність, але робить недійсними будь-які раніше перехоплені або підроблені cookie
Окрім цих заходів, рекомендується:
- Провести аудит журналів GlobalProtect на предмет аномальних VPN-сесій за період з 13 травня 2026 року
- Перевірити наявність неочікуваних призначень VPN IP-адрес, особливо з нетипових географічних регіонів
- Переконатися, що на всіх пристроях PAN-OS з GlobalProtect установлено актуальну версію прошивки з виправленням
- Розглянути впровадження додаткового фактора автентифікації для VPN-підключень, який не залежить від механізму cookie
Установлення патча від Palo Alto Networks має бути пріоритетним завданням для всіх організацій, що експлуатують GlobalProtect portal або gateway з увімкненою функцією перевизначення автентифікації. З огляду на підтверджену активну експлуатацію та мінімальне вікно між розкриттям і початком атак, відкладання оновлення створює прямий ризик несанкціонованого доступу до внутрішньої інфраструктури. Організаціям, які не можуть оперативно оновити прошивку, слід негайно застосувати один із двох тимчасових заходів — вимкнення перевизначення автентифікації або заміну сертифіката.
