Компания Palo Alto Networks выпустила исправления для своей платформы межсетевых экранов PAN-OS после того, как исследователь обнаружил критическую уязвимость, которую злоумышленники могли использовать для вывода оборудования из строя (DoS).
Эта уязвимость, получившая идентификатор CVE-2026-0227 и оценку критичности 7.7 по шкале CVSS («высокая»), затрагивает клиентов, использующих конфигурации PAN-OS NGFW (межсетевой экран нового поколения) или Prisma Access с активированным шлюзом или порталом удаленного доступа GlobalProtect.
Без установки патча «неаутентифицированный злоумышленник мог вызвать отказ в обслуживании межсетевого экрана. Повторные попытки вызвать эту проблему приводили к переходу устройства в режим обслуживания», — говорится в рекомендациях Palo Alto.
Компания не раскрывает всех последствий перехода межсетевого экрана в режим обслуживания, однако трудно представить, что это не вызовет перебоев в работе сети, пока администраторы будут спешно устранять проблему.
Хотя Palo Alto Networks заявила, что ей не известно о реальной эксплуатации уязвимости, в рекомендациях также указано, что об этой проблеме сообщил неназванный исследователь и что существует код, демонстрирующий её наличие (PoC).
Учитывая, что PoC-коды имеют свойство просачиваться в открытый доступ или воспроизводиться независимо, описание проблемы компанией как имеющей «умеренную срочность» выглядит оптимистично.
Эта новая уязвимость напоминает почти идентичную проблему DoS в Palo Alto Networks конца 2024 года, CVE-2024-3393, которая также переводила затронутые межсетевые экраны в режим обслуживания. В тот раз злоумышленники узнали о проблеме до появления исправлений, что сделало её уязвимостью нулевого дня.
Недавно, в декабре, компания по анализу угроз GreyNoise зафиксировала всплеск автоматизированных попыток входа в системы, нацеленных как на GlobalProtect, так и на VPN-решения Cisco, а ранее, в 2025 году, PAN-OS пострадал от серьёзной уязвимости нулевого дня, CVE-2025-0108, позволявшей атакующим обойти аутентификацию.
«Согласно рекомендациям по безопасности Palo Alto Networks, компания сообщила о почти 500 уязвимостях на сегодняшний день, многие из которых затронули PAN-OS. Значительное меньшинство было связано с проблемами DoS», — отметил представитель компании по анализу угроз Flashpoint. «[Однако] заметная часть исторических раскрытий информации Palo Alto не получала идентификаторов CVE, особенно старые проблемы PAN-OS, что может усложнить долгосрочное сравнение между поставщиками».
Кого это затрагивает?
Хорошая новость заключается в том, что большинство клиентов, использующих облачную платформу Secure Access Service Edge (SASE) компании, Prisma Access, уже получили обновления.
«Мы успешно завершили обновление Prisma Access для большинства клиентов, за исключением нескольких, находящихся в процессе из-за конфликтующих графиков обновления. Оставшиеся клиенты оперативно планируются к обновлению в рамках нашего стандартного процесса», — сказано в рекомендациях.
Таким образом, остаётся немалое число клиентов PAN-OS NGFW, использующих шлюз или портал GlobalProtect, которым необходимо самостоятельно применить исправление. Хотя Palo Alto заявила об отсутствии известных обходных путей, для смягчения проблемы можно временно отключить VPN-интерфейс, пожертвовав удаленным доступом до завершения установки патча.
Palo Alto Networks опубликовала подробную таблицу применимых исправлений, которые различаются в зависимости от используемой версии PAN-OS (12.1, 11.2, 11.1, 10.2). Версии старше 10.2 не поддерживаются; решение заключается в обновлении до поддерживаемой версии с установленным исправлением.
Нарушение доступности
По данным Flashpoint, состояние DoS не подвергает предприятия более широкой угрозе безопасности. «Современные корпоративные межсетевые экраны спроектированы так, чтобы «отказывать в закрытом состоянии», а не «отказывать в открытом». Таким образом, переход в режим обслуживания из-за отказа в обслуживании точнее можно охарактеризовать как потенциальное нарушение доступности, а не прямую угрозу безопасности», — заявил представитель. «Основной риск здесь, по-видимому, заключается в устойчивости, а не в компрометации данных».
Эта статья была первоначально опубликована на NetworkWorld.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – John E. Dunn
