Компанія Palo Alto Networks повідомила про активну експлуатацію вразливості CVE-2026-0257 у компонентах порталу та шлюзу GlobalProtect — VPN-рішення, яке широко використовується для організації віддаленого доступу до корпоративних мереж. Вразливість дає змогу обійти автентифікацію та встановлювати несанкціоновані VPN-з’єднання. За даними дослідників, експлуатація має обмежений характер, однак організаціям, що використовують PAN-OS з GlobalProtect, необхідно негайно перевірити логи на наявність індикаторів компрометації та застосувати доступні оновлення.
Технічні деталі вразливості
CVE-2026-0257 (NVD) — вразливість обходу автентифікації, що зачіпає компоненти порталу та шлюзу GlobalProtect у програмному забезпеченні PAN-OS. За даними Palo Alto Networks, оцінка CVSS становить 7.8, що відповідає високому рівню критичності.
Суть вразливості полягає в можливості обійти механізми контролю безпеки, що дає змогу зловмиснику ініціювати VPN-підключення без проходження належної автентифікації. Це принципово небезпечний вектор: успішна експлуатація надає атакувальнику мережевий доступ, еквівалентний доступу легітимного віддаленого співробітника.
Зачеплені продукти:
- PAN-OS — операційна система міжмережевих екранів Palo Alto Networks
- GlobalProtect portal — портал керування VPN-підключеннями
- GlobalProtect gateway — шлюз VPN-підключень
Примітка: конкретні зачеплені версії PAN-OS на момент публікації не уточнені в доступних джерелах. Рекомендується звернутися до офіційних рекомендацій вендора, щоб визначити застосовність до вашої інфраструктури.
Спостережувана активність експлуатації
За даними підрозділу Unit 42 компанії Palo Alto Networks, перші ознаки експлуатації в реальних умовах були зафіксовані 17 травня 2026 року. Атаки описуються як обмежені за масштабом. Важлива деталь: лише невелика частина просканованих пристроїв фактично встановила VPN-сесії, що призвело до появи подій підключення до шлюзу (gateway-connected events).
На момент публікації звіту Palo Alto Networks заявила, що не виявлено жодної постексплуатаційної активності або бокового переміщення. Це може вказувати на ранню стадію кампанії — фазу розвідки та перевірки доступу — або на те, що атакувальники ще не перейшли до активних дій усередині скомпрометованих мереж. Атрибуція загрози наразі відсутня: відповідальний суб’єкт не встановлений.
Варто підкреслити: відсутність спостережуваного бокового переміщення не означає відсутність загрози. Встановлене VPN-з’єднання надає атакувальнику плацдарм для подальших дій, а затримка між отриманням доступу та його використанням — типова тактика просунутих угруповань.
Індикатори компрометації
Palo Alto Networks опублікувала такі IP-адреси, пов’язані зі спостережуваною активністю:
- 23.128.228[.]6
- 104.207.144[.]154
- 146.19.216[.]119
- 146.19.216[.]120
- 146.19.216[.]125
- 179.43.172[.]213
- 185.195.232[.]139
- 198.12.106[.]60
- 202.144.192[.]47
Крім того, дослідники рекомендують шукати в логах GlobalProtect успішні події підключення до шлюзу, що відповідають жорстко заданим параметрам конфігурації клієнта з публічного експлойта (PoC):
endpoint_os_version: Microsoft Windows 10 Pro 64-bitsource_user_info.domain: порожнє значення
Комбінація цих двох параметрів — конкретна версія ОС та відсутність доменної інформації — є характерною ознакою використання саме PoC експлойта. Якщо у вашій організації всі легітимні підключення GlobalProtect відбуваються від доменних облікових записів, порожнє поле домену під час успішного підключення — явний сигнал тривоги.
Оцінка впливу
GlobalProtect — одне з найпоширеніших корпоративних VPN-рішень, що використовується організаціями різних галузей по всьому світу. Вразливість обходу автентифікації в компоненті віддаленого доступу становить особливу небезпеку з кількох причин:
- Прямий доступ до корпоративної мережі: успішна експлуатація усуває основний бар’єр — автентифікацію, надаючи атакувальнику мережевий доступ, не відмінний від легітимного
- Компоненти порталу та шлюзу за визначенням доступні з інтернету: це необхідно для роботи VPN, що робить їх привабливою ціллю для масового сканування
- Наявність публічного PoC: жорстко задані параметри конфігурації клієнта в експлойті знижують поріг входу для менш кваліфікованих атакувальників
Найбільшому ризику піддаються організації зі застарілими версіями PAN-OS, які не застосували відповідні оновлення, а також ті, хто не здійснює моніторинг подій підключення до шлюзу GlobalProtect.
Практичні рекомендації
Негайні дії
- Перевірте логи GlobalProtect на наявність подій gateway-connected із вказаними вище параметрами PoC (версія ОС «Microsoft Windows 10 Pro 64-bit» за порожнього домену користувача)
- Заблокуйте перелічені IP-адреси на периметрових засобах захисту. Перед блокуванням переконайтеся, що ці адреси не використовуються легітимними сервісами у вашій інфраструктурі
- Застосуйте оновлення PAN-OS, які усувають CVE-2026-0257, відповідно до рекомендацій вендора
Додаткові заходи
- Проведіть ретроспективний аналіз логів, починаючи з 17 травня 2026 року — дати першої зафіксованої експлуатації
- Якщо виявлено підозрілі VPN-сесії, проведіть розслідування щодо постексплуатаційної активності в зачеплених сегментах мережі, попри заяву Palo Alto Networks про відсутність бокового переміщення
- Розгляньте впровадження багатофакторної автентифікації для GlobalProtect, якщо її ще не налаштовано — це створює додатковий бар’єр навіть у разі обходу основного механізму автентифікації
- Налаштуйте сповіщення на події підключення до шлюзу з аномальними параметрами клієнта
Організаціям, що використовують PAN-OS з GlobalProtect, слід розглядати цю вразливість як пріоритетну для усунення. Наявність підтвердженої експлуатації в реальних умовах, публічного PoC і прямого впливу на периметр безпеки формує сукупність чинників, які вимагають оперативного реагування. Ключова дія — негайна перевірка логів GlobalProtect за опублікованими індикаторами з паралельним застосуванням оновлень PAN-OS.
