Уязвимость в продуктах Palo Alto Networks, позволяющая злоумышленникам получать несанкционированный VPN-доступ к корпоративным сетям, активно эксплуатируется в реальных атаках спустя недели после того, как компания сообщила об этой уязвимости как о проблеме средней степени критичности и заявила, что ей неизвестно о каких-либо атаках.
Однако, по данным Rapid7, злоумышленники начали использовать эту ошибку в течение нескольких дней после её обнаружения.
«Rapid7 MDR зафиксировала успешную эксплуатацию у множества клиентов, однако мы не обнаружили никаких признаков успешного бокового перемещения из скомпрометированных устройств», — говорится в анализе компании. Злоумышленники достигали сети, но в расследованных Rapid7 случаях не продвигались глубже, отмечается в сообщении.
Уязвимость, отслеживаемая как CVE-2026-0257, затрагивает GlobalProtect — платформу удаленного VPN-доступа Palo Alto. Rapid7 сообщила, что злоумышленники начали использовать её ещё 17 мая, через четыре дня после того, как Palo Alto опубликовала исправления и рекомендации по смягчению последствий.
Это развитие событий знаменует собой значительную эскалацию по сравнению с первоначальным уведомлением Palo Alto от 13 мая, в котором уязвимости присваивался средний уровень критичности, и утверждалось, что на тот момент компании не было известно о вредоносной эксплуатации.
К 29 мая Palo Alto обновила своё уведомление, повысив оценку CVSS уязвимости до 7.8, отметив зрелость эксплойта как «атакованный» и присвоив ей наивысший рейтинг срочности.
«Palo Alto Networks стало известно об ограниченных попытках эксплуатации на необновлённых устройствах PAN-OS без применённых мер по смягчению последствий», — заявила компания в обновлении.
Эксплуатация проявилась быстро
Хотя уязвимость не позволяет выполнить удалённый код на самом межсетевом экране, Rapid7 настоятельно рекомендовала организациям рассматривать её как более серьёзную, чем предполагает присвоенная ей оценка критичности.
«Хотя присвоенная оценка CVSSv4 указывает на среднюю критичность, учитывая обстоятельства, связанные с этой уязвимостью, Rapid7 настоятельно рекомендует организациям рассматривать её как критическую», — заявила компания.
Сунил Варки, советник в Beagle Security, отметил, что уязвимость вызывает особую озабоченность, поскольку она позволяет осуществить то, что он назвал «полным обходом аутентификации без учётных данных» (fully credential-less authentication bypass).
«Злоумышленники могут создать поддельный cookie, используя общедоступный открытый ключ, и напрямую установить VPN-сессию без какого-либо вредоносного ПО, фишинга или украденных учётных данных», — сказал Варки.
Поскольку результирующая сессия выглядит легитимной, такую активность может быть значительно труднее обнаружить, чем многие традиционные методы вторжения, добавил он.
По словам Сакши Гровер, старшего менеджера по исследованиям в области кибербезопасности в IDC Asia/Pacific, хотя уязвимости, позволяющие выполнять удалённый код, часто получают наивысшие оценки критичности, уязвимости обхода аутентификации, затрагивающие инфраструктуру удаленного доступа, могут создавать сопоставимый корпоративный риск.
«В современной модели нулевого доверия (zero-trust) личность (identity) — это новый периметр», — заявила Гровер. «Уязвимость, предоставляющая несанкционированный аутентифицированный доступ, фактически компрометирует этот периметр, даже без выполнения кода на базовом устройстве».
Корпоративный риск, добавила она, заключается не столько в том, что делает уязвимость напрямую, сколько в том, какой доступ она открывает впоследствии, включая боковое перемещение, сбор учётных данных и сохранение присутствия под прикрытием того, что выглядит как легитимная сессия.
Что вызвало уязвимость
Уязвимость заключается в том, как PAN-OS обрабатывает cookie для обхода аутентификации (authentication override cookies), говорится в сообщении Rapid7. Шлюз расшифровывает cookie с помощью закрытого ключа, а затем доверяет его содержимому без проверки подписи.
По словам Варки, эта функция cookie является элементом удобства.
«Многие организации включали cookie для обхода аутентификации по простой причине: для улучшения пользовательского опыта», — сказал он. «И теперь это необходимо серьёзно пересмотреть».
Ошибка проявляется только при одной конфигурации, добавила Rapid7. Должны быть включены cookie, а сертификат, который их защищает, должен выполнять и другую функцию, например, служить HTTPS-интерфейсом шлюза. Злоумышленник может восстановить открытый ключ и подделать действительный cookie. Эта функция по умолчанию отключена, но команды, которые включили её много лет назад, могут не знать о своей подверженности риску.
Гровер отметила, что это указывает на более широкий урок. Риск часто исходит не от самой уязвимости, а от того, как технология настраивается и поддерживается с течением времени.
Давление по установке патчей растёт
Срочность устранения уязвимости возросла ещё больше после того, как Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) 29 мая добавило CVE-2026-0257 в свой Каталог известных эксплуатируемых уязвимостей и предписало федеральным гражданским ведомствам устранить проблему к 1 июня.
Rapid7 рекомендует организациям проверить развёртывания GlobalProtect, убедиться в наличии уязвимых конфигураций и как можно скорее применить доступные исправления.
Этот инцидент также подчёркивает более широкую проблему для организаций, внедряющих архитектуры нулевого доверия.
«Нулевое доверие не устранило периметр; оно перераспределило его», — сказала Гровер. «Поставщики идентификации, VPN-шлюзы, порталы удаленного доступа, SASE-границы и сервисы доступа к облаку стали новыми точками контроля, на которые нацеливаются злоумышленники».
Организации продолжают активно инвестировать в сетевую безопасность и инициативы нулевого доверия, но устаревшая VPN-инфраструктура часто остаётся глубоко интегрированной в корпоративные среды, создавая переходный период, который злоумышленники используют быстрее, чем многие организации успевают модернизироваться.
«Этот инцидент подтверждает суровую правду: несмотря на годы обсуждений нулевого доверия, безопасность периметра остаётся хрупкой, когда удобство превалирует над тщательной архитектурой», — сказал он.
Для руководителей по информационной безопасности (CISO) урок выходит за рамки простого патчинга. «Повторяющийся сценарий эксплуатации пограничных устройств редко является результатом отсутствия продукта безопасности», — отметила Гровер. «Чаще это отражает пробелы в видимостью активов, управлении конфигурациями, приоритизации исправлений и модернизации архитектуры».
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Gyana Swain
