Эксплуатация CVE-2026-0257 бьёт по VPN Palo Alto Networks

Arctic Wolf сообщил о резком росте эксплуатации уязвимости обхода аутентификации CVE-2026-0257, затрагивающей PAN-OS GlobalProtect и Prisma Access от Palo Alto Networks. По данным компании, всплеск активности пришёлся на период с конца мая по начало июня 2026 года и был спровоцирован публикацией exploit code и подробных описаний механизма атаки.

Что известно об уязвимости

CVE-2026-0257 позволяет удалённым неаутентифицированным злоумышленникам подделывать authentication cookies и получать несанкционированный доступ к VPN, но только при определённых условиях конфигурации. Для успешной эксплуатации портал или gateway GlobalProtect должны быть доступны извне, а cookies обхода аутентификации должны быть повторно использованы либо раскрыты вместе с сертификатом, на который они опираются.

Изначально уязвимость оценивалась как менее опасная, однако её уровень серьёзности был пересмотрен с CVSS 4.7 до 7.8 на фоне роста осведомлённости о проблеме и появления публичных материалов по эксплуатации.

Как действовали атакующие

По наблюдениям Arctic Wolf, на раннем этапе вредоносная активность проявлялась как подозрительные попытки входа с virtual private servers (VPS). В ряде случаев это приводило к созданию IPSec tunnels и последующим действиям по внутренней разведке, что указывает на использование инструментов Impacket.

Характер атак демонстрировал последовательный сценарий:

• попытки входа в учётные записи администраторов GlobalProtect;
• использование cookie-based authentication с инфраструктуры VPS;
• многократные неудачные попытки аутентификации;
• в отдельных случаях — установление авторизованных sessions;
• после успешного входа — automated SMB reconnaissance и enumeration of network resources.

Такое поведение, по оценке исследователей, говорит о том, что злоумышленники использовали несанкционированный VPN-доступ как точку входа для дальнейших действий во внутренней сети. Наблюдались быстрые переходы от успешного соединения по VPN к reconnaissance: запросы SMB sessions, поиск domain users и перечисление доступных ресурсов.

Кто оказался под ударом

Эксплуатация затронула организации из разных отраслей, включая:

• финансы;
• здравоохранение;
• образование.

Наиболее заметная активность фиксировалась в организациях Europe и North America.

Почему атаки не всегда развивались дальше

Несмотря на явные признаки успешной эксплуатации в ряде случаев, большинство инцидентов не выходило за рамки начальных вторжений. То есть злоумышленники нередко ограничивались попытками аутентификации и первичным reconnaissance, не переходя к более глубокой фазе компрометации.

Рекомендации по защите

Arctic Wolf рекомендует организациям, использующим GlobalProtect, сосредоточиться на мониторинге подозрительных событий аутентификации и поведения сессий после входа.

В частности, следует обращать внимание на:

• IP-адреса, связанные с VPS exit nodes или Tor;
• аномальные шаблоны входа;
• признаки активности Impacket после установления VPN-сессии;
• повторяющиеся неудачные попытки аутентификации;
• необычную SMB-активность и enumeration сразу после входа.

Как подчёркивают исследователи, тщательный анализ попыток входа и последующего поведения sessions может помочь выявить и пресечь потенциальную эксплуатацию на ранней стадии.