Palo Alto Networks: CVE-2026-0257 позволяет обойти аутентификацию VPN

Компания Palo Alto Networks 13 мая 2026 года раскрыла информацию об уязвимости обхода аутентификации средней степени тяжести, получившей идентификатор CVE-2026-0257. Проблема затрагивает PAN-OS и Prisma Access при определённых конфигурациях и позволяет удалённому неаутентифицированному злоумышленнику установить VPN-соединение через шлюз GlobalProtect на уязвимых устройствах.

Несмотря на среднюю оценку CVSSv4, исследователи Rapid7 считают уязвимость критической для организаций, использующих затронутые решения. В компании рекомендовали срочно установить исправленные версии и проверить инфраструктуру на признаки компрометации.

Как была обнаружена эксплуатация

Расследование Rapid7 началось 18 мая 2026 года после срабатывания оповещения “Suspicious VPN Authentication”. В нескольких средах клиентов были выявлены подозрительные входы на основе cookie-файлов в локальные административные учётные записи. Все они исходили от одного и того же хостинг-провайдера — Vultr.

Анализ файлов технической поддержки показал, что на затронутых устройствах была отключена служба облачной аутентификации CAS, а cookie-файлы для переопределения аутентификации были включены. По мнению исследователей, это указывает на эксплуатацию CVE-2026-0257. Подтверждение было получено после успешного анализа proof-of-concept в Rapid7 Labs.

Вторая волна атак и признаки повторного использования инфраструктуры

21 мая была зафиксирована вторая волна эксплуатации. По данным расследования, признаки указывали на преемственность со стороны того же злоумышленника: в качестве индикатора использовались совпадающие MAC-адреса. При этом вторая атака исходила уже от другого хостинг-провайдера — Dromatics Systems.

После аутентификации с помощью cookie злоумышленники назначали IP-адреса VPN, что позволяло им получать несанкционированный доступ к внутренним сетям организаций.

Почему уязвимость считается особенно опасной

Примечательно, что не все попытки эксплуатации приводили к установлению VPN-сессий. У 8 из 10 клиентов cookie-файлы успешно проходили валидацию, однако само соединение установить не удавалось. Причины этой непоследовательности на данный момент остаются необъяснёнными.

Технический анализ показывает, что cookie-файлы с переопределением аутентификации могут быть изменены при соблюдении определённых условий в службе GlobalProtect. В частности, требуется наличие определённого значения HTTP form в POST request, отправленном на соответствующую endpoint аутентификации. Это позволяет злоумышленнику использовать открытый ключ отдельных сертификатов, применяемых для шифрования cookie-файлов.

Иными словами, при выполнении этих условий атакующий может подделывать действительные cookie-файлы, которые затем успешно расшифровываются сервером, обеспечивая обход аутентификации.

Что сделали исследователи Rapid7

Команда Rapid7 Labs создала общедоступный proof-of-concept скрипт, позволяющий проверить, подвержены ли устройства уязвимости CVE-2026-0257. Скрипт подделывает cookie-файлы для обхода аутентификации, используя найденные сертификаты.

Инструмент последовательно извлекает и перебирает цепочку сертификатов службы HTTPS, после чего проверяет, возможно ли пройти аутентификацию с поддельными cookie-файлами.

Рекомендации для организаций

Rapid7 рекомендует организациям, использующим затронутые продукты, безотлагательно принять меры по снижению рисков:

• установить исправления, предоставленные Palo Alto Networks;
• проверить конфигурации PAN-OS и Prisma Access на наличие признаков уязвимости;
• использовать доступные инструменты, включая Exposure Command, InsightVM и Nexpose, для оценки экспозиции и уязвимостей.

С учётом уже зафиксированной эксплуатации речь идёт не о теоретической проблеме, а о реальной угрозе для корпоративных сетей, использующих GlobalProtect и связанные компоненты удалённого доступа.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.