Palo Alto ugniasienės: užpuolikai dvi savaites jungiasi be kredencialų

Jei jūsų įmonė naudoja „Palo Alto" ugniasienes su GlobalProtect VPN, gegužės 17-oji galėjo būti ta diena, kai kažkas tyliai prisijungė prie jūsų vidinio tinklo. Ir jūs to net nepastebėjote.

Palo Alto Networks patvirtino, kad vidutinio sunkumo pažeidžiamumas CVE-2026-0257 (CVSS 7,8) yra aktyviai išnaudojamas jau dvi savaites. Pirmieji išpuoliai užfiksuoti gegužės 17 dieną, o antroji banga smogė gegužės 21-ąją. Abu atakų etapai, pasak „Rapid7" tyrėjų, yra to paties užpuoliko darbas.

Pažeidžiamumas veikia per GlobalProtect portalą ir vartų sąsają — jei įjungti autentifikavimo perėmimo slapukai ir naudojama specifinė sertifikatų konfigūracija, užpuolikas gali apeiti prisijungimą ir užmegzti VPN ryšį be jokių kredencialų. Iš esmės tai durys, kurioms nereikia rakto.

Antrosios bangos metu „Rapid7" užfiksavo du atvejus, kai po slapukų autentifikavimo buvo suteiktas VPN IP adresas — tai reiškia, kad užpuolikas gavo prieigą prie vidinio tinklo. Kol kas jokios papildomos veiklos tuose tinkluose nepastebėta, tačiau pats faktas, kad kažkas jau buvo viduje, kelia nerimą.

Palo Alto Networks išleido pataisą dar gegužės 13 dieną, tačiau atnaujinimo sulaukė ne visi. Įmonei teko atnaujinti savo rekomendacijas gegužės 29-ąją, pripažįstant, kad išnaudojimo atvejų vis daugėja.

Ši ataka primena panašią situaciją su „FortiClient" endpoint valdymo serveriais — „Arctic Wolf" neseniai pranešė, kad kritinė CVE-2026-35616 spraga (CVSS 9,1) taip pat aktyviai naudojama platinant kenkėjišką programą EKZ Infostealer, kuri vagia prisijungimo duomenis.

Ką daryti dabar? Palo Alto rekomenduoja nedelsiant atnaujinti PAN-OS programinę įrangą iki naujausios versijos. Jei atnaujinimas kol kas negalimas, laikinai išjunkite autentifikavimo perėmimo funkciją arba sugeneruokite naują sertifikatą, skirtą tik šiai funkcijai. Trečias variantas — nieko nedaryti ir tikėtis, kad jūsų įmonė nėra ta, kurią jau aplankė. Bet statistiškai tai vis prastesnis lošimas.