CVE-2026-0257 Exploited: GlobalProtect VPN Bypass в реальных атаках

Каждый руководитель платформы, использующий GlobalProtect в качестве основного уровня удалённого доступа, на этой неделе столкнулся с инцидентом уровня совета директоров — осознают они это или нет. CVE-2026-0257 — это обход аутентификации со средним баллом CVSS, который ведёт себя как критический, и именно в этом разрыве между двумя оценками сгорают бюджеты на безопасность. Вопрос перед CTO стоит не в том, патчить ли, а в том, заслуживает ли архитектура, породившая эту уязвимость, продления в 2027 году.

Ключевые детали

Уязвимость, отслеживаемая как CVE-2026-0257, затрагивает PAN-OS и Prisma Access и позволяет удалённому неаутентифицированному злоумышленнику подделывать куки-файлы переопределения аутентификации для установки несанкционированных VPN-соединений через шлюз GlobalProtect. Palo Alto Networks опубликовала своё предупреждение 13 мая 2026 года, и как сообщал CyberSecurityNews, CISA добавила CVE в каталог известных эксплуатируемых уязвимостей 29 мая 2026 года после подтверждённой эксплуатации в реальных условиях.

Уязвимость находится в нестандартной функции «authentication override», которая позволяет порталам и шлюзам GlobalProtect выдавать сессионные куки, работающие как токены на предъявителя, — чтобы пользователи не проходили аутентификацию при каждой сессии. Ошибка срабатывает только тогда, когда сертификат, используемый для шифрования и дешифрования этих куки, является общим с другой функцией — как правило, HTTPS-сервисом портала или шлюза. Процедура дешифрования внутри /usr/local/bin/gpsvc не выполняет проверку подписи после расшифровки куки. Злоумышленник, получивший открытый ключ из доступного HTTPS-сертификата, может сфабриковать действительный куки и полностью обойти аутентификацию.

Rapid7 отследила первые случаи эксплуатации 17 мая 2026 года — первая волна исходила с IP-адресов, размещённых на Vultr. 18 мая в нескольких клиентских средах появилась подозрительная аутентификация на основе куки к учётным записям локальных администраторов. Злоумышленник использовал имя машины GP-CLIENT и поддельный MAC-адрес aa:bb:cc:dd:ee:ff. Вторая волна последовала 21 мая — она исходила от хостинг-провайдера Dromatics Systems и использовала имя машины DESKTOP-GP01. Некоторым жертвам в этой волне были назначены полноценные VPN IP-адреса после аутентификации по куки, что предоставило прямой доступ к внутренней сети. Повторяющийся поддельный MAC в обеих волнах указывает на одного угрозного актора. Rapid7 отметила, что 8 из 10 затронутых клиентов MDR зафиксировали лишь зондирование, а не полное установление сессии. Публичный скрипт proof-of-concept уже распространяется в открытом доступе.

Исправленные выпуски включают PAN-OS 12.1.4-h6 и 12.1.7, 11.2.12, 11.1.15 и 10.2.18-h6. Для Prisma Access 11.2.0 требуется 11.2.7-h13 или более поздняя версия, для Prisma Access 10.2.0 — 10.2.10-h36 или более поздняя.

Почему это важно для команд безопасности

Начнём с арифметики CVSS, потому что именно она объясняет, почему многие организации запоздают с патчингом. Уязвимость имеет средний балл CVSSv4. Rapid7 прямо призывает клиентов считать её приоритетом критического уровня. Этот разрыв существует потому, что CVSS учитывает предусловия, а предусловие здесь («authentication override включён И сертификат используется совместно с HTTPS-сервисом») выглядит узким на бумаге. На практике повторное использование сертификатов в развёртываниях GlobalProtect распространено, поскольку операционная альтернатива — это второй жизненный цикл сертификата, второй календарь обновлений и ещё одно место для ошибки ротации. Большинство команд выбрали удобство много лет назад и забыли об этом.

Именно этот давний выбор делает эксплойт дешёвым. Злоумышленнику не нужны учётные данные, фишинговый предлог или инсайдер. Ему нужен открытый ключ с доступного в интернете HTTPS-эндпоинта, который по определению выдаётся по запросу. Криптографический сбой — это отсутствие проверки подписи в gpsvc после дешифрования, классическая ошибка «расшифровал-и-доверяй», которую любой инженер платёжных систем поймал бы на этапе проектирования. Для руководителей в области безопасности это второй раз за восемнадцать месяцев, когда крупный VPN-вендор выпустил примитивную криптографическую ошибку в интернет-доступном компоненте, и эта закономерность становится сигналом при принятии решений о закупках.

Поведенческие индикаторы здесь unusually чисты. Захардкоженные имена машин (GP-CLIENT, DESKTOP-GP01) и буквальный MAC-адрес-заполнитель (aa:bb:cc:dd:ee:ff) делают обнаружение тривиальным для любой команды, которая уже передаёт логи GlobalProtect в SIEM. Правило обнаружения Rapid7 «Suspicious Authentication, Palo Alto GlobalProtect Cookie Authentication to Local Admin Account» доступно для клиентов InsightIDR/MDR. Команды без такого конвейера должны сегодня же написать эквивалентный запрос к своему журналу логов. Тактики угрозного актора здесь чётко соответствуют MITRE ATT&CK T1078 (Valid Accounts) и T1133 (External Remote Services), и ваш контент обнаружения должен ссылаться на оба.

Влияние на отрасль

CFO любой регулируемой финтех-компании, iGaming-оператора или криптобиржи, использующей Palo Alto для удалённого доступа, должен на этой неделе спросить VP по безопасности: каково наше реальное финансовое воздействие, если GlobalProtect-апплаенс считается скомпрометированным в период с 13 мая до нашего окна патчинга, и требует ли наш поставщик киберстрахования признать факт взлома в связи с внесением в CISA KEV? Этот вопрос не риторический. CVE из списка KEV всё чаще служат для страховщиков и аудиторов чёткой границей определения «известно и не устранено», и стоимость задержки патча отразится в страховых премиях через шесть месяцев, а не в текущем квартале.

Для команд iGaming- и финтех-платформ более глубокая проблема в том, что GlobalProtect нередко является воротами между корпоративной идентификацией и доступом к производственной консоли. Полное назначение VPN IP-адреса, которое Rapid7 наблюдала у жертв второй волны, функционально эквивалентно присутствию на уровне сети внутри плоскости управления. Если ваши производственные SSH-бастионы, консоли администрирования баз данных или административные интерфейсы платёжных процессоров доступны из диапазонов VPN-адресов без дополнительного перехода zero-trust, у вас есть однофакторный путь к регулируемым системам. Эта архитектура и так устаревала, а данный CVE — именно тот тип события, который ускоряет соответствующую строку бюджета.

Рамка «строить vs покупать» здесь неудобна. Замена GlobalProtect стеком ZTNA (Cloudflare Access, Tailscale, Zscaler Private Access или самостоятельно развёрнутый WireGuard с SSO-фронтендом) — это проект на шесть-двенадцать месяцев с реальными последствиями для найма, поскольку операционная модель смещается от сетевых инженеров к инженерам по идентификации. Рынок труда для последних более конкурентен и дорог. Но оставаться на периметральном VPN означает принимать, что каждый CVE апплаенса — это инцидент уровня совета директоров, и закладывать это в численность команды безопасности. Оба пути стоят денег. Только один из них прерывает повторяющийся новостной цикл.

Перспективы

При наличии публичного PoC и уже действующего статуса CISA KEV следует ожидать расширения массовой эксплуатации в течение следующих двух-четырёх недель. Первые две волны пришли от Vultr и Dromatics Systems — оба провайдера с низким порогом входа, что указывает на оппортунистическое сканирование, а не на целенаправленное вторжение. Успех второй волны в получении полных VPN IP-адресов привлечёт брокеров доступа, а публичный PoC снижает порог навыков настолько, что аффилиаты программ-вымогателей включат его в стандартные наборы для первоначального доступа до конца июня.

Следите за тремя сигналами. Во-первых, телеметрия бокового перемещения внутри организаций, которые поздно исправились, но не провели охоту: подделка куки не оставляет артефактов учётных данных, поэтому оценка компрометации после патча важнее обычного. Во-вторых, вторичные раскрытия от Palo Alto о связанных путях аутентификации, поскольку уязвимости такого рода редко существуют в одиночестве в кодовой базе. В-третьих, регуляторная позиция: если крупный регулируемый оператор раскроет инцидент с CVE-2026-0257, ожидайте, что FFIEC, MGA или государственные игровые регуляторы начнут запрашивать данные о SLA патчинга апплаенсов в следующем цикле проверок.

Команды, оценивающие сейчас свой стек удалённого доступа, должны задавать себе более острый вопрос, чем «установлен ли патч». Вопрос в том, стоит ли следующий средний CVE в этом классе апплаенсов разговора на уровне совета директоров, или же архитектуру нужно менять ещё до следующего продления.

Ключевые выводы

• Немедленно установите патч до PAN-OS 12.1.4-h6/12.1.7, 11.2.12, 11.1.15, 10.2.18-h6 или указанных исправленных версий Prisma Access. Внесение в CISA KEV 29 мая 2026 года меняет вашу позицию в отношении страхования и аудита, даже если вы устраните уязвимость быстро.
• Прекратите использовать общие сертификаты между authentication override и HTTPS-сервисом. Создайте отдельный сертификат для шифрования куки или отключите authentication override, если это не требуется с операционной точки зрения.
• Ищите конкретные IOC: имена машин GP-CLIENT и DESKTOP-GP01, поддельный MAC aa:bb:cc:dd:ee:ff, аутентификацию на основе куки к учётным записям локальных администраторов, IP-адреса источников от Vultr и Dromatics Systems.
• Считайте средний балл CVSSv4 вводящим в заблуждение. Rapid7 прямо указывает: это проблема критического приоритета, и публичный PoC в сочетании с активной эксплуатацией быстро закрывает окно безопасного устранения.
• Используйте этот CVE как повод для разговора о переходе на ZTNA. Если VPN-назначенный IP равнозначен присутствию в производственной сети в вашей архитектуре, следующая уязвимость апплаенса обойдётся ещё дороже этой.