Palo Alto Networks предупреждава, че хакери вече активно експлоатират критична уязвимост в PAN-OS, свързана с GlobalProtect VPN, която позволява заобикаляне на автентикацията и неоторизиран достъп до корпоративни мрежи.

Уязвимостта е проследена като CVE-2026-0257 и първоначално беше оценена като средна по тежест, но впоследствие рейтингът ѝ е повишен до висок след потвърдени атаки в реални среди.

Какво представлява проблемът

Грешката засяга компонентите GlobalProtect portal и gateway, които управляват VPN достъпа.

Според официалното описание атакуващите могат:

• да заобиколят защитните механизми
• да създадат неоторизирана VPN сесия
• да се представят като легитимни потребители

GlobalProtect използва така наречените authentication override cookies, които в този случай могат да бъдат фалшифицирани при определени конфигурации.

Как се извършват атаките

Според анализа на Rapid7, атаките започват с използване на фалшифицирани cookies, насочени към локални администраторски акаунти.

Основните техники включват:

• използване на компрометирани или изфалшифицирани authentication override cookies
• възползване от неправилна конфигурация на сертификати
• достъп до VPN без реални идентификационни данни

В някои случаи нападателите успяват да се свържат към вътрешната мрежа чрез VPN, но не винаги постигат пълно разширяване на достъпа.

Техническа причина за уязвимостта

Проблемът произтича от начина, по който PAN-OS валидира authentication override cookies.

• системата дешифрира cookie чрез частен ключ
• след това приема съдържанието без допълнителна проверка на подписа
• ако един и същ сертификат се използва за HTTPS и за cookie механизма, той може да бъде злоупотребен

Това позволява на атакуващите да извлекат публичния ключ и да създадат валидно изглеждащи фалшиви сесии.

Реални атаки вече са потвърдени

Rapid7 съобщава, че е наблюдавал експлоатация още от 17 май 2026 г., като атаките са дошли от различни инфраструктури, включително облачни доставчици.

Въпреки че някои опити са били частично неуспешни, в редица случаи нападателите са получили VPN достъп до корпоративни мрежи.

Препоръки за защита

Експертите препоръчват незабавни действия:

• прилагане на последните пачове за PAN-OS
• деактивиране на authentication override функцията, ако не е необходима
• използване на отделни сертификати за различни услуги
• избягване на споделени ключове между HTTPS и VPN механизми

Официална реакция и CISA

CISA вече е добавила уязвимостта в своя каталог на активно експлоатирани слабости и е задължила федералните агенции да приложат мерки до 1 юни 2026 г.

Уязвимостта CVE-2026-0257 показва класически риск в корпоративните VPN среди: неправилно внедрена криптографска логика, комбинирана с конфигурационни грешки, може да доведе до пълно заобикаляне на автентикацията и достъп до вътрешни мрежи без потребителски данни.