Компания Palo Alto Networks сообщила об активной эксплуатации уязвимости CVE-2026-0257 в компонентах портала и шлюза GlobalProtect — VPN-решения, широко используемого для организации удалённого доступа в корпоративных сетях. Уязвимость позволяет обойти аутентификацию и установить несанкционированные VPN-соединения. По данным исследователей, эксплуатация носит ограниченный характер, однако организациям, использующим PAN-OS с GlobalProtect, необходимо немедленно проверить логи на наличие индикаторов компрометации и применить доступные обновления.
Технические детали уязвимости
CVE-2026-0257 (NVD) — уязвимость обхода аутентификации, затрагивающая компоненты портала и шлюза GlobalProtect в программном обеспечении PAN-OS. По данным Palo Alto Networks, оценка CVSS составляет 7.8, что соответствует высокому уровню критичности.
Суть уязвимости заключается в возможности обхода механизмов контроля безопасности, что позволяет злоумышленнику инициировать VPN-подключения без прохождения надлежащей аутентификации. Это принципиально опасный вектор: успешная эксплуатация даёт атакующему сетевой доступ, эквивалентный доступу легитимного удалённого сотрудника.
Затронутые продукты:
- PAN-OS — операционная система межсетевых экранов Palo Alto Networks
- GlobalProtect portal — портал управления VPN-подключениями
- GlobalProtect gateway — шлюз VPN-подключений
Примечание: конкретные затронутые версии PAN-OS на момент публикации не уточнены в доступных источниках. Рекомендуется обратиться к официальным рекомендациям вендора для определения применимости к вашей инфраструктуре.
Наблюдаемая активность эксплуатации
По данным подразделения Unit 42 компании Palo Alto Networks, первые признаки эксплуатации в реальных условиях были зафиксированы 17 мая 2026 года. Атаки описываются как ограниченные по масштабу. Важная деталь: лишь небольшая часть зондируемых устройств фактически установила VPN-сессии, что привело к появлению событий подключения к шлюзу (gateway-connected events).
На момент публикации отчёта Palo Alto Networks заявила, что не выявлено никакой постэксплуатационной активности или бокового перемещения. Это может указывать на раннюю стадию кампании — фазу разведки и проверки доступа — либо на то, что атакующие ещё не перешли к активным действиям внутри скомпрометированных сетей. Атрибуция угрозы на данный момент отсутствует: ответственный субъект не установлен.
Стоит подчеркнуть: отсутствие наблюдаемого бокового перемещения не означает отсутствие угрозы. Установленное VPN-соединение предоставляет атакующему плацдарм для последующих действий, и задержка между получением доступа и его использованием — типичная тактика продвинутых группировок.
Индикаторы компрометации
Palo Alto Networks опубликовала следующие IP-адреса, связанные с наблюдаемой активностью:
- 23.128.228[.]6
- 104.207.144[.]154
- 146.19.216[.]119
- 146.19.216[.]120
- 146.19.216[.]125
- 179.43.172[.]213
- 185.195.232[.]139
- 198.12.106[.]60
- 202.144.192[.]47
Кроме того, исследователи рекомендуют искать в логах GlobalProtect успешные события подключения к шлюзу, соответствующие жёстко заданным параметрам конфигурации клиента из публичного эксплойта (PoC):
endpoint_os_version: Microsoft Windows 10 Pro 64-bitsource_user_info.domain: пустое значение
Комбинация этих двух параметров — конкретная версия ОС и отсутствие доменной информации — является характерным признаком использования именно PoC-эксплойта. Если в вашей организации все легитимные подключения GlobalProtect происходят от доменных учётных записей, пустое поле домена при успешном подключении — явный сигнал тревоги.
Оценка воздействия
GlobalProtect — одно из наиболее распространённых корпоративных VPN-решений, используемое организациями различных отраслей по всему миру. Уязвимость обхода аутентификации в компоненте удалённого доступа представляет особую опасность по нескольким причинам:
- Прямой доступ в корпоративную сеть: успешная эксплуатация устраняет основной барьер — аутентификацию, предоставляя атакующему сетевой доступ, неотличимый от легитимного
- Компоненты портала и шлюза доступны из интернета по определению: это необходимо для работы VPN, что делает их привлекательной целью для массового сканирования
- Наличие публичного PoC: жёстко заданные параметры конфигурации клиента в эксплойте снижают порог входа для менее квалифицированных атакующих
Наибольшему риску подвержены организации с устаревшими версиями PAN-OS, не применившие соответствующие обновления, а также те, кто не ведёт мониторинг событий подключения к шлюзу GlobalProtect.
Практические рекомендации
Немедленные действия
- Проверьте логи GlobalProtect на наличие событий gateway-connected с указанными выше параметрами PoC (версия ОС «Microsoft Windows 10 Pro 64-bit» при пустом домене пользователя)
- Заблокируйте перечисленные IP-адреса на периметровых средствах защиты. Перед блокировкой убедитесь, что эти адреса не используются легитимными сервисами в вашей инфраструктуре
- Примените обновления PAN-OS, устраняющие CVE-2026-0257, в соответствии с рекомендациями вендора
Дополнительные меры
- Проведите ретроспективный анализ логов начиная с 17 мая 2026 года — даты первой зафиксированной эксплуатации
- Если обнаружены подозрительные VPN-сессии, проведите расследование на предмет постэксплуатационной активности в затронутых сегментах сети, несмотря на заявление Palo Alto Networks об отсутствии бокового перемещения
- Рассмотрите внедрение многофакторной аутентификации для GlobalProtect, если она ещё не настроена — это создаёт дополнительный барьер даже при обходе основного механизма аутентификации
- Настройте оповещения на события подключения к шлюзу с аномальными параметрами клиента
Организациям, использующим PAN-OS с GlobalProtect, следует рассматривать эту уязвимость как приоритетную для устранения. Наличие подтверждённой эксплуатации в реальных условиях, публичного PoC и прямого влияния на периметр безопасности формирует совокупность факторов, требующих оперативного реагирования. Ключевое действие — немедленная проверка логов GlobalProtect по опубликованным индикаторам с параллельным применением обновлений PAN-OS.
