Palo Alto Networks предупредила об атаках через уязвимость в сервисе удаленного доступа GlobalProtect
Palo Alto Networks предупредила клиентов об эксплуатации уязвимости CVE-2026-0257 в GlobalProtect – сервисе для удаленного подключения сотрудников к корпоративной сети. Ошибка позволяет обойти проверку пользователя и подключиться к VPN без нормальной аутентификации. Компания выпустила исправления и рекомендовала срочно обновить уязвимые системы.
Уязвимость CVE-2026-0257 затрагивает GlobalProtect – компонент Palo Alto Networks, который компании используют для удаленного доступа сотрудников и подрядчиков к внутренним ресурсам. Такие сервисы находятся на сетевом периметре: к ним обращаются пользователи извне, поэтому ошибки в них быстро становятся интересны атакующим.
Palo Alto Networks указала, что уязвимость позволяет обойти аутентификацию и установить несанкционированное VPN-подключение. Проще говоря, злоумышленник может попытаться получить доступ к корпоративной сети так, как будто он прошел проверку. Проблема затрагивает не все установки GlobalProtect, а только определенные конфигурации.
Первоначально уязвимость оценивалась как серьезная, но не критическая. Ситуация изменилась после подтверждения атак. Palo Alto Networks обновила бюллетень 29 мая и сообщила об ограниченных попытках эксплуатации на необновленных системах, где не были применены защитные меры.
Исследователи Rapid7 зафиксировали эксплуатацию уязвимости 17 мая в среде одного из клиентов. Позже, 21 мая, наблюдалась вторая волна активности. В ряде случаев атакующие использовали поддельные данные сессии, чтобы войти через GlobalProtect от имени легитимных пользователей.
Опасность такой ошибки в том, что VPN-доступ приближает атакующего к внутренней сети компании. Это еще не означает автоматического взлома всех систем, но дает злоумышленнику более удобную точку входа для дальнейших действий. Поэтому Rapid7 рекомендовала организациям относиться к проблеме как к критической.
CISA добавила CVE-2026-0257 в каталог известных эксплуатируемых уязвимостей 29 мая. Это означает, что проблема уже используется в реальных атаках, а не остается только записью в бюллетене производителя.
Palo Alto Networks рекомендует установить исправленные версии PAN-OS – программной платформы, на которой работают устройства компании. В качестве временных мер можно изменить настройки GlobalProtect или отключить функцию, связанную с сохранением данных аутентификации. Rescana также описала проблему как активную угрозу для необновленных систем и рекомендовала проверить, используются ли уязвимые конфигурации.
