Palo Alto Networks предупредила, что уязвимость CVE-2026-0257 в PAN-OS и Prisma Access уже используют атакующие. Ошибка получила 7,8 балла по CVSS и связана с обходом аутентификации на компонентах GlobalProtect.
По данным компании и исследователей из Rapid7, первые успешные атаки заметили 17 мая 2026 года, а затем — ещё одну волну 21 мая. В части случаев злоумышленники получали сетевой доступ через подставную сессию и попадали во внутренний сегмент компании.
Что это за уязвимость
Речь идёт об ошибке в шлюзе и портале GlobalProtect на устройствах с PAN-OS. Если на устройстве включены cookie для переопределения аутентификации и совпадает определённая конфигурация сертификата, атакующий может пройти проверку, которую должен был бы не пройти.
Проще говоря, система путает доверенную сессию с чужой. В результате злоумышленник получает не пароль, а уже готовый пропуск в корпоративную сеть.
Как это работает технически
Уязвимость относится к классу authentication bypass — обход аутентификации. В норме устройство должно проверить пользователя, а затем выдать доступ к защищённому соединению. В этой схеме ошибка в логике проверки позволяет пройти дальше без полноценной верификации.
Palo Alto Networks уточнила, что проблема затрагивает только те устройства, где настроены GlobalProtect portal или gateway, включены cookie для override и используется определённая конфигурация сертификата. Это не массовая проблема всех установок подряд, но для уязвимых систем риск прямой.
Подобный сценарий уже разбирался в материале о критической дыре в Gogs: когда ошибка лежит на границе доверия, атакующему часто не нужен сложный инструментарий — достаточно найти слабое место в проверке.
Почему это опасно
Такие уязвимости особенно неприятны для компаний, потому что они бьют по самому входу в сеть. Если атакующий закрепится на периметре, он получает шанс изучать внутренние сервисы, адреса, политики доступа и, в ряде случаев, двигаться дальше.
Rapid7 отмечает, что в двух случаях после успешной cookie-аутентификации атакующие получили назначение сетевого IP и доступ к внутренней сети. Пока не видно массовой вредоносной активности после входа, но сам факт несанкционированного подключения уже создаёт серьёзный риск.
Как понять, что это касается вас
Проблема относится к компаниям и организациям, которые используют PAN-OS с GlobalProtect portal или gateway. Если у вас включён authentication override и есть специфичная схема работы с сертификатами, систему нужно проверить в первую очередь.
Сигналом беды могут стать неожиданные сессии, странные записи в журналах аутентификации, подключения из нетипичных адресов или активность в те дни, когда входов от сотрудников не было. Для обычного пользователя это скорее история не про домашний компьютер, а про корпоративную инфраструктуру.
Что делать сейчас
Palo Alto Networks советует срочно установить исправление от вендора. Пока патч не применён, компания рекомендует отключить authentication override либо выпустить новый сертификат, который будет использоваться только для этой функции.
Отдельно стоит проверить журналы доступа, список активных сессий и настройки периметра. Если вы администрируете такую инфраструктуру, не откладывайте проверку на потом: в таких инцидентах время работает против владельца сети.
В более широком смысле это ещё один повод навести порядок в базовой цифровой гигиене. Для сотрудников это означает сильные пароли, двухфакторную аутентификацию и внимательную проверку писем и входов. Для команд, которые работают в поездках и из разных сетей, полезно заранее продумать защиту переписки и служебных данных в дороге — не как панацею, а как один из слоёв безопасности.
Практический чек-лист
- Проверьте, используется ли у вас PAN-OS с GlobalProtect portal или gateway.
- Сверьте конфигурацию: включён ли authentication override и как настроены сертификаты.
- Установите патч от Palo Alto Networks без задержек.
- Если обновление откладывается, отключите authentication override там, где это допустимо.
- Выпустите новый сертификат для этой функции, если это требует ваша схема.
- Просмотрите журналы входа и ищите необычные сессии или IP-адреса.
- Усильте контроль доступа: 2FA, ревизия прав, мониторинг периметра.
- Сравните инцидент с похожими кейсами из разбора уязвимости FortiClient EMS, чтобы не пропустить вторичный риск после проникновения.
Комментарии (0)
Будьте уважительны. Спам и ссылки на сторонние сервисы скрываются модерацией.
Пока комментариев нет. Вы можете быть первым.