Ar mano įmonė paveikta CVE-2026-0257?

Pažeidžiami tik PAN-OS įrenginiai su įjungtais autentifikacijos perrašymo slapukais ir specifine sertifikatų konfigūracija. Jei jūsų GlobalProtect naudoja tą patį sertifikatą HTTPS ir slapukų pasirašymui, rizika yra reali. Patikrinti galima PAN-OS administracinėje konsolėje, o geriausia — nedelsiant atnaujinti programinę įrangą.

Ar užpuolikai jau gavo prieigą prie mano tinklo?

„Rapid7“ duomenimis, dauguma atvejų apsiribojo autentifikacija be pilnos VPN sesijos. Tačiau kai kuriais atvejais atakuotojai sėkmingai prisijungė. Rekomenduojama peržiūrėti GlobalProtect žurnalus nuo gegužės 17 dienos, ieškant autentifikacijų į administratoriaus paskyrą iš neįprastų IP adresų, ypač susijusių su „Vultr“ ar „Dromatics Systems“ infrastruktūra.

Ar pakanka tik atnaujinti PAN-OS?

Atnaujinimas yra būtinas pirmas žingsnis, tačiau taip pat verta peržiūrėti sertifikatų konfigūraciją ir atskirti HTTPS bei slapukų pasirašymo sertifikatus. Tai sumažins panašių atakų riziką ateityje.

Palo Alto GlobalProtect VPN pažeidžiamumas jau išnaudojamas atakose

Jei jūsų įmonė naudoja Palo Alto GlobalProtect VPN, gegužės 17-oji galėjo būti diena, kai kažkas iš išorės jau bandė prisijungti prie jūsų vidinio tinklo. Ir jūs to net nepastebėjote.

„Palo Alto Networks“ praėjusią savaitę atnaujino savo gegužės pradžios saugumo biuletenį — pažeidžiamumas, kurį iš pradžių vertino kaip vidutinio sunkumo, staiga tapo aktyviai išnaudojamas atakose. Pažeidžiamumas, žymimas CVE-2026-0257, leidžia užpuolikams apeiti GlobalProtect VPN autentifikacijos patikras ir užmegzti neteisėtą VPN ryšį su įmonės tinklu.

Esmė slypi tame, kaip PAN-OS tvarko autentifikacijos perrašymo slapukus — „authentication override cookies“. GlobalProtect VPN įrenginys iššifruoja šiuos slapukus naudodamas sukonfigūruotą privatų raktą, o tada aklai pasitiki iššifruotu turiniu, neatlikdamas jokio parašo tikrinimo. Jei tas pats sertifikatas naudojamas ir HTTPS paslaugoms, ir autentifikacijos slapukams, užpuolikas gali gauti viešąjį raktą per HTTPS sesiją ir su juo suklastoti slapuką, kurį įrenginys priims kaip teisėtą.

// reklamaČia gali būti jūsų reklamaSusisiekite →

Tai nėra egzotiška ataka, reikalaujanti nulinės dienos eksploito. Tai architektūrinis dizaino trūkumas — kai kriptografinis mechanizmas pasitiki iššifruotais duomenimis jų nepatikrinęs. Kaip durys, kurios atsidaro vos tik kas nors parodo bet kokį raktą, neklausdamos, ar tas raktas tikras.

Kibernetinio saugumo bendrovė „Rapid7“ pranešė, kad jau gegužės 17 dieną stebėjo sėkmingus šios spragos išnaudojimo atvejus pas daugybę savo klientų. „Rapid7 MDR identifikavo sėkmingą išnaudojimą pas daugybę klientų, tačiau nepastebėjome jokių sėkmingo lateralinio judėjimo požymių iš paveiktų įrenginių“, — teigiama „Rapid7“ ataskaitoje.

Pirmosios atakos bangos kilo iš „Vultr“ infrastruktūros gegužės 18 dieną. Antra banga užfiksuota gegužės 21-ąją, šį kartą iš „Dromatics Systems“ serverių. Abiem atvejais užpuolikai autentifikavosi naudodami suklastotus slapukus, nukreiptus į vietinę administratoriaus paskyrą. Kai kuriais atvejais atakuotojams pavyko užmegzti pilną VPN sesiją ir gauti prieigą prie vidinio tinklo.

Tačiau įdomu tai, kad ne visos atakos buvo vienodai sėkmingos. „Rapid7“ tyrėjai pastebėjo, kad daugeliu atvejų įrenginys priėmė suklastotą slapuką, tačiau pilnos VPN sesijos užmegzti nepavyko. Tai reiškia, kad egzistuoja papildomi barjerai, trukdantys pilnam tinklo perėmimui — tačiau pasikliauti jais kaip apsauga būtų pavojingas lošimas.

„Rapid7“ tyrėjai sukūrė ir koncepcijos įrodymo (proof-of-concept) eksploitą, demonstruojantį, kaip užpuolikas gali išgauti viešuosius sertifikatus, kuriuos įrenginys naudoja HTTPS ryšiui, ir panaudoti juos suklastotiems slapukams generuoti. Tai nėra teorinė grėsmė — dabar, kai egzistuoja viešai aprašytas PoC eksploitas, bet kuris vidutinio lygio užpuolikas gali pakartoti ataką.

Pažeidžiamumas veikia tik tuose įrenginiuose, kuriuose įjungti autentifikacijos perrašymo slapukai ir naudojama specifinė sertifikatų konfigūracija. „Palo Alto Networks“ pabrėžia, kad įrenginiai, kuriuose pritaikyti gegužės pradžioje išleisti pataisymai, nėra paveikiami — tačiau dabar, kai atakos jau aktyvios, delsimas tapo gerokai pavojingesnis.

Gegužės 29 dieną pažeidžiamumas buvo įtrauktas į CISA žinomų išnaudojamų pažeidžiamumų katalogą (KEV). Tai signalas, kad JAV kibernetinio saugumo agentūra vertina grėsmę kaip realią ir reikalauja neatidėliotino veiksmų iš federalinių agentūrų. Įtraukimas į KEV sąrašą paprastai reiškia, kad per kelias savaites atsiras dar daugiau atakų — užpuolikai stebi šį sąrašą taip pat atidžiai kaip ir gynėjai.

Praktiškai viskas sukasi apie vieną konfigūracijos klaidą — kai tas pats sertifikatas naudojamas dviem skirtingoms funkcijoms. Įprastai VPN įrenginys turėtų naudoti atskirą raktų porą slapukų pasirašymui. Jei to nepadaryta, HTTPS sesijos viešasis raktas tampa raktu į jūsų vidinį tinklą. Tai primena klasikinę programinės įrangos saugumo pamoką: niekada nenaudok to paties rakto dviem skirtingiems tikslams.

Ką daryti? Pirmiausia — patikrinti, ar PAN-OS programinė įranga atnaujinta iki pataisytos versijos. Antra — peržiūrėti, ar autentifikacijos perrašymo slapukų sertifikatas nėra tas pats, kuris naudojamas HTTPS. Ir trečia — stebėti GlobalProtect žurnalus dėl neįprastų autentifikacijos įvykių, ypač nukreiptų į administratoriaus paskyras iš nepažįstamų IP adresų.

Tai nėra sudėtingiausia kada nors matyta VPN spraga, tačiau ji pavojinga būtent tuo, kad veikia tyliai. Įsilaužėlis gali tyliai prisijungti ir ilgai likti nepastebėtas, rinkdamas informaciją apie tinklo struktūrą, prieš imdamasis tolimesnių veiksmų. Ir skirtingai nei daugelis kitų VPN pažeidžiamumų, šis nereikalauja jokio socialinės inžinerijos elemento — užtenka vienos klaidos sertifikatų konfigūracijoje.

Regiono įmonėms, naudojančioms „Palo Alto“ įrangą, tai ypač aktualu. Baltijos šalyse „Palo Alto Networks“ sprendimai paplitę tarp finansinių institucijų ir valstybinių organizacijų — būtent tose srityse, kur VPN yra pirmoji ir dažnai vienintelė gynybos linija tarp interneto ir vidinio tinklo. Jei ta linija turi spragą, visa kita apsauga tampa mažareikšmė.

Dažnai užduodami klausimai

Ar mano įmonė paveikta CVE-2026-0257?: Pažeidžiami tik PAN-OS įrenginiai su įjungtais autentifikacijos perrašymo slapukais ir specifine sertifikatų konfigūracija. Jei jūsų GlobalProtect naudoja tą patį sertifikatą HTTPS ir slapukų pasirašymui, rizika yra reali. Patikrinti galima PAN-OS administracinėje konsolėje, o geriausia — nedelsiant atnaujinti programinę įrangą.
Ar užpuolikai jau gavo prieigą prie mano tinklo?: „Rapid7“ duomenimis, dauguma atvejų apsiribojo autentifikacija be pilnos VPN sesijos. Tačiau kai kuriais atvejais atakuotojai sėkmingai prisijungė. Rekomenduojama peržiūrėti GlobalProtect žurnalus nuo gegužės 17 dienos, ieškant autentifikacijų į administratoriaus paskyrą iš neįprastų IP adresų, ypač susijusių su „Vultr“ ar „Dromatics Systems“ infrastruktūra.
Ar pakanka tik atnaujinti PAN-OS?: Atnaujinimas yra būtinas pirmas žingsnis, tačiau taip pat verta peržiūrėti sertifikatų konfigūraciją ir atskirti HTTPS bei slapukų pasirašymo sertifikatus. Tai sumažins panašių atakų riziką ateityje.

Šaltiniai

Palo Alto Networks, CVE-2026-0257 PAN-OS GlobalProtect Authentication Bypass, 2026Security · 2026
Rapid7, Active Exploitation of PAN-OS GlobalProtect CVE-2026-0257, 2026Rapid7 · 2026
BleepingComputer, Palo Alto GlobalProtect VPN auth bypass flaw now exploited in attacks, 2026Bleepingcomputer · 2026
CISA, Known Exploited Vulnerabilities Catalog, 2026Cisa · 2026