- 27,161
- 46
- 8 Ноя 2022
Rapid7 зафиксировала реальные случаи взлома сетей через дыру в GlobalProtect.
Palo Alto Networks предупредила о попытках эксплуатации уязвимости CVE-2026-0257 в PAN-OS и Prisma Access. Ошибка затрагивает GlobalProtect и при определённой конфигурации позволяет злоумышленнику обойти проверку подлинности и установить несанкционированное <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-подключение.
Уязвимость получила оценку 7,8 по CVSS. Проблема находится в портале и шлюзе GlobalProtect, которые используют организации для удалённого доступа к внутренней сети. Если атака проходит успешно, внешний нарушитель может подключиться к VPN без нормальной проверки учётных данных.
Уязвимы не все устройства с PAN-OS. Риск появляется на межсетевых экранах, где настроен портал или шлюз GlobalProtect, включена функция пропуска повторной аутентификации через куки и одновременно используется определённая конфигурация сертификатов. Именно такое сочетание настроек открывает путь к обходу защиты.
Palo Alto Networks опубликовала уведомление 13 мая 2026 года, а 29 мая обновила его после сообщений об эксплуатации. Компания заявила, что ей известно об ограниченных попытках атак на необновлённые устройства PAN-OS, где администраторы не применили временные меры защиты.
Отдельные детали раскрыла Rapid7. Компания обнаружила успешные атаки у нескольких клиентов. Самые ранние попытки относятся к 17 мая 2026 года, а вторая волна началась 21 мая. По оценке Rapid7, обе серии, вероятно, связаны с одним и тем же злоумышленником.
Во второй волне атак Rapid7 зафиксировала два случая, когда после аутентификации через куки устройству назначался VPN-адрес. Это давало нарушителю доступ к внутренней сети. При этом в тех средах, где VPN-сессия всё же установилась, специалисты не увидели дальнейших действий злоумышленника.
Опасность CVE-2026-0257 связана не с запуском кода на устройстве, а с самим положением GlobalProtect на периметре сети. VPN-шлюз обычно стоит на входе в корпоративную инфраструктуру. Если внешний человек проходит через него без нормальной проверки, организация получает риск несанкционированного доступа к внутренним ресурсам.
Rapid7 призвала администраторов срочно установить исправления от Palo Alto Networks. Такой тип уязвимости особенно неприятен для компаний, где удалённый доступ используется постоянно: даже ограниченная эксплуатация может быстро превратиться в серьёзный инцидент, если атакующий закрепится внутри сети или получит доступ к чувствительным системам.
До установки обновлений Palo Alto Networks рекомендует временные меры. Администраторы могут отключить функцию пропуска повторной аутентификации через куки или выпустить новый сертификат, который будет использоваться только для этой функции. Такие шаги должны убрать опасную конфигурацию, пока устройство не обновлено.
История с CVE-2026-0257 вписывается в более широкий тренд атак на корпоративные средства удалённого доступа и управления. Почти одновременно Arctic Wolf сообщила о продолжающейся эксплуатации уже исправленной критической уязвимости CVE-2026-35616 в FortiClient Endpoint Management Server. Через неё злоумышленники распространяли EKZ Infostealer, вредоносную программу для кражи учётных данных.
Какой здесь может быть вывод? Устройства на периметре нужно обновлять быстрее обычных внутренних систем. VPN-шлюзы, порталы доступа и серверы управления первыми принимают внешний трафик, поэтому даже ошибка средней или высокой оценки по шкале CVSS может стать удобным входом в корпоративную сеть.
Palo Alto Networks предупредила о попытках эксплуатации уязвимости CVE-2026-0257 в PAN-OS и Prisma Access. Ошибка затрагивает GlobalProtect и при определённой конфигурации позволяет злоумышленнику обойти проверку подлинности и установить несанкционированное <span class="vpn-highlight" title="Использование VPN может нарушать законодательство РФ">VPN</span>-подключение.
Уязвимость получила оценку 7,8 по CVSS. Проблема находится в портале и шлюзе GlobalProtect, которые используют организации для удалённого доступа к внутренней сети. Если атака проходит успешно, внешний нарушитель может подключиться к VPN без нормальной проверки учётных данных.
Уязвимы не все устройства с PAN-OS. Риск появляется на межсетевых экранах, где настроен портал или шлюз GlobalProtect, включена функция пропуска повторной аутентификации через куки и одновременно используется определённая конфигурация сертификатов. Именно такое сочетание настроек открывает путь к обходу защиты.
Palo Alto Networks опубликовала уведомление 13 мая 2026 года, а 29 мая обновила его после сообщений об эксплуатации. Компания заявила, что ей известно об ограниченных попытках атак на необновлённые устройства PAN-OS, где администраторы не применили временные меры защиты.
Отдельные детали раскрыла Rapid7. Компания обнаружила успешные атаки у нескольких клиентов. Самые ранние попытки относятся к 17 мая 2026 года, а вторая волна началась 21 мая. По оценке Rapid7, обе серии, вероятно, связаны с одним и тем же злоумышленником.
Во второй волне атак Rapid7 зафиксировала два случая, когда после аутентификации через куки устройству назначался VPN-адрес. Это давало нарушителю доступ к внутренней сети. При этом в тех средах, где VPN-сессия всё же установилась, специалисты не увидели дальнейших действий злоумышленника.
Опасность CVE-2026-0257 связана не с запуском кода на устройстве, а с самим положением GlobalProtect на периметре сети. VPN-шлюз обычно стоит на входе в корпоративную инфраструктуру. Если внешний человек проходит через него без нормальной проверки, организация получает риск несанкционированного доступа к внутренним ресурсам.
Rapid7 призвала администраторов срочно установить исправления от Palo Alto Networks. Такой тип уязвимости особенно неприятен для компаний, где удалённый доступ используется постоянно: даже ограниченная эксплуатация может быстро превратиться в серьёзный инцидент, если атакующий закрепится внутри сети или получит доступ к чувствительным системам.
До установки обновлений Palo Alto Networks рекомендует временные меры. Администраторы могут отключить функцию пропуска повторной аутентификации через куки или выпустить новый сертификат, который будет использоваться только для этой функции. Такие шаги должны убрать опасную конфигурацию, пока устройство не обновлено.
История с CVE-2026-0257 вписывается в более широкий тренд атак на корпоративные средства удалённого доступа и управления. Почти одновременно Arctic Wolf сообщила о продолжающейся эксплуатации уже исправленной критической уязвимости CVE-2026-35616 в FortiClient Endpoint Management Server. Через неё злоумышленники распространяли EKZ Infostealer, вредоносную программу для кражи учётных данных.
Какой здесь может быть вывод? Устройства на периметре нужно обновлять быстрее обычных внутренних систем. VPN-шлюзы, порталы доступа и серверы управления первыми принимают внешний трафик, поэтому даже ошибка средней или высокой оценки по шкале CVSS может стать удобным входом в корпоративную сеть.
- Источник новости
- www.securitylab.ru
