Компания Palo Alto Networks подтвердила активную эксплуатацию уязвимости CVE-2026-0257 (CVSS 7.8) в продуктах PAN-OS и Prisma Access. Уязвимость позволяет злоумышленнику обойти аутентификацию в компонентах GlobalProtect portal и gateway и установить несанкционированное VPN-соединение с внутренней сетью организации. По данным Rapid7, успешная эксплуатация зафиксирована у множества клиентов начиная с 17 мая 2026 года. Организациям, использующим GlobalProtect с включённой функцией переопределения аутентификации через cookie, необходимо немедленно установить патч или применить временные меры защиты.
Технические детали уязвимости
Согласно официальному бюллетеню Palo Alto Networks, опубликованному 13 мая 2026 года, уязвимость представляет собой обход аутентификации в компонентах GlobalProtect portal и gateway программного обеспечения PAN-OS. Эксплуатация позволяет атакующему обойти механизмы безопасности и установить неавторизованное VPN-подключение к защищённой сети.
Для успешной эксплуатации необходимо одновременное выполнение нескольких условий:
- На межсетевом экране настроен GlobalProtect portal или gateway
- Включена функция переопределения аутентификации через cookie (authentication override cookies)
- Присутствует определённая конфигурация сертификатов
Оценка CVSS 7.8 классифицирует уязвимость как среднюю по шкале критичности, однако её реальный потенциал воздействия значительно выше формального рейтинга. Обход аутентификации на периметровом VPN-устройстве фактически предоставляет атакующему прямой доступ во внутреннюю сеть — это делает уязвимость стратегически критичной для любой организации, использующей GlobalProtect как основной механизм удалённого доступа.
Хронология эксплуатации
29 мая 2026 года Palo Alto Networks обновила бюллетень безопасности, указав, что компании стало известно об «ограниченных попытках эксплуатации на непропатченных устройствах PAN-OS без применённых мер митигации».
Более детальную картину представила компания Rapid7 в своём исследовательском отчёте. По данным исследователей, успешная эксплуатация была зафиксирована у многочисленных клиентов компании, причём атаки проходили в два этапа:
- Первая волна — начало эксплуатации зафиксировано 17 мая 2026 года, спустя всего четыре дня после публикации бюллетеня
- Вторая волна — 21 мая 2026 года, с более продвинутым сценарием атаки
По оценке Rapid7, обе волны, предположительно, являются работой одного и того же злоумышленника, хотя конкретная группировка не идентифицирована. Во второй волне атак, как сообщается, в двух случаях наблюдалось назначение VPN IP-адреса после аутентификации через cookie, что означало получение атакующим полноценного доступа к внутренней сети. При этом исследователи отмечают, что дальнейшей вредоносной активности в скомпрометированных средах зафиксировано не было.
Оценка воздействия
Отсутствие наблюдаемой постэксплуатационной активности не должно вводить в заблуждение. Существует несколько объяснений этому факту: атакующий мог проводить разведку для последующих целенаправленных операций, собирать учётные данные VPN-сессий для перепродажи на теневых рынках, либо активность просто не была обнаружена средствами мониторинга.
Особую опасность уязвимость представляет для организаций, в которых GlobalProtect является единственным периметровым механизмом удалённого доступа. Успешный обход аутентификации в таком случае эквивалентен получению легитимного VPN-доступа сотрудника — с соответствующими сетевыми привилегиями и возможностью горизонтального перемещения.
Четырёхдневный интервал между публикацией бюллетеня (13 мая) и первой зафиксированной эксплуатацией (17 мая) демонстрирует минимальное окно для реагирования. Организации, не применившие патч или временные меры в первые дни после раскрытия, оказались под непосредственной угрозой.
Рекомендации по защите
Palo Alto Networks предлагает два варианта временных мер до установки полноценного патча:
- Отключить функцию переопределения аутентификации (authentication override) — это полностью устраняет вектор атаки, но может повлиять на пользовательский опыт при повторных VPN-подключениях
- Сгенерировать новый сертификат, используемый исключительно для функции переопределения аутентификации — это позволяет сохранить функциональность, но инвалидирует любые ранее перехваченные или подделанные cookie
Помимо этих мер, рекомендуется:
- Провести аудит журналов GlobalProtect на предмет аномальных VPN-сессий за период с 13 мая 2026 года
- Проверить наличие неожиданных назначений VPN IP-адресов, особенно из нехарактерных географических регионов
- Убедиться, что на всех устройствах PAN-OS с GlobalProtect установлена актуальная версия прошивки с исправлением
- Рассмотреть внедрение дополнительного фактора аутентификации для VPN-подключений, не зависящего от механизма cookie
Установка патча от Palo Alto Networks должна быть приоритетной задачей для всех организаций, эксплуатирующих GlobalProtect portal или gateway с включённой функцией переопределения аутентификации. Учитывая подтверждённую активную эксплуатацию и минимальное окно между раскрытием и началом атак, откладывание обновления создаёт прямой риск несанкционированного доступа к внутренней инфраструктуре. Организациям, которые не могут оперативно обновить прошивку, следует немедленно применить одну из двух временных мер — отключение переопределения аутентификации или замену сертификата.
