Palo Alto предупредила об эксплуатации уязвимости GlobalProtect VPN

Palo Alto Networks сообщила об активной эксплуатации уязвимости CVE-2026-0257 в компонентах GlobalProtect portal и gateway для PAN-OS. Ошибка описана как обход аутентификации с оценкой CVSS 7.8: при успешной эксплуатации злоумышленник может обойти защитные проверки и инициировать VPN-подключение к уязвимой инфраструктуре.

По данным компании, атаки пока выглядят ограниченными. Первая активность была замечена 17 мая 2026 года, а личность оператора или группы, стоящей за попытками эксплуатации, на момент публикации не установлена. Palo Alto подчёркивает, что не обнаружила признаков последующих действий после доступа — например, lateral movement внутри сетей клиентов. При этом сама возможность создать несанкционированную VPN-сессию делает инцидент чувствительным для организаций, которые используют GlobalProtect как внешний периметр удалённого доступа.

Уязвимость затрагивает именно тот слой, который обычно должен быть максимально жёстко защищён: входную точку для сотрудников, подрядчиков и администраторов. Если атакующий получает возможность пройти через портал без корректной аутентификации, дальнейший риск зависит от сегментации сети, политик доступа, журналирования и того, какие внутренние ресурсы доступны через VPN.

Palo Alto опубликовала индикаторы компрометации и рекомендовала администраторам искать в журналах GlobalProtect успешные gateway-connected события, совпадающие с жёстко заданными значениями клиентской конфигурации из proof-of-concept эксплойта. Это важная деталь: даже если эксплуатация не привела к очевидному взлому, сама фиксация подозрительной VPN-сессии требует расследования, потому что периметровые журналы часто становятся единственным ранним следом атаки.

Ранее CISA добавила CVE-2026-0257 в каталог Known Exploited Vulnerabilities и обязала федеральные гражданские ведомства США устранить риск до 1 июня 2026 года. Для частных компаний практический приоритет такой же: проверить версии PAN-OS, применить исправления или рекомендованные меры обхода, просмотреть логи за период с середины мая и убедиться, что доступ через GlobalProtect ограничен принципом минимальных привилегий.

История показывает, что VPN-уязвимости быстро превращаются в массовый входной вектор: они находятся на периметре, часто доступны из интернета и открывают путь к внутренней сети. Даже ограниченная эксплуатация CVE-2026-0257 — сигнал не ждать появления публичной волны атак.

Источник: The Hacker News, 15 июня 2026