PAN-OS CVE-2026-0257 Використовується: Обхід GlobalProtect VPN у Реальних Атаках

Кожен керівник платформи, що використовує GlobalProtect як основний рівень віддаленого доступу, цього тижня стикається з інцидентом, який потребує звітування перед радою директорів — незалежно від того, усвідомлює він це чи ні. CVE-2026-0257 — це обхід автентифікації з середнім CVSS-балом, що поводиться як критична вразливість, і саме в розриві між цими двома оцінками згорають бюджети на безпеку. Перед CTO стоїть не питання, чи встановлювати патч, а питання про те, чи заслуговує на продовження у 2027 році архітектура, що породила таке викриття.

Ключові деталі

Вразливість, відстежувана як CVE-2026-0257, впливає на PAN-OS і Prisma Access та дозволяє віддаленому неавтентифікованому зловмиснику підробляти файли cookie для обходу автентифікації та встановлювати несанкціоновані VPN-з'єднання через шлюз GlobalProtect. Palo Alto Networks опублікувала своє повідомлення 13 травня 2026 року, і, як повідомляє CyberSecurityNews, CISA додала CVE до свого каталогу відомих експлуатованих вразливостей 29 травня 2026 року після підтвердження реального використання.

Вразливість знаходиться в нестандартній функції «authentication override», яка дозволяє порталам і шлюзам GlobalProtect видавати сесійні файли cookie, що працюють як bearer-токени, — щоб кінцеві користувачі не проходили повторну автентифікацію під час кожної сесії. Помилка спрацьовує лише тоді, коли сертифікат, що використовується для шифрування та дешифрування цих файлів cookie, є спільним з іншою функцією — зазвичай HTTPS-сервісом порталу або шлюзу. Процедура дешифрування всередині /usr/local/bin/gpsvc не виконує перевірку підпису після дешифрування cookie. Зловмисник, який отримає публічний ключ із відкритого HTTPS-сертифіката, може підробити дійсний файл cookie та повністю обійти автентифікацію.

Rapid7 відстежив найраніші випадки експлуатації до 17 травня 2026 року: перша хвиля надійшла з IP-адрес, розміщених на Vultr. 18 травня у кількох клієнтських середовищах з'явилась підозріла автентифікація через файли cookie до локальних адміністраторських облікових записів. Зловмисник використав ім'я машини GP-CLIENT і підроблену MAC-адресу aa:bb:cc:dd:ee:ff. Друга хвиля надійшла 21 травня від хостинг-провайдера Dromatics Systems, із назвою машини DESKTOP-GP01. Деяким жертвам у цій хвилі було надано повні VPN IP-адреси після автентифікації через cookie, що забезпечило прямий доступ до внутрішньої мережі. Повторна підроблена MAC-адреса в обох хвилях вказує на одного загрозливого актора. Rapid7 зазначив, що 8 з 10 постраждалих клієнтів MDR зафіксували лише зондування, а не повноцінне встановлення сесії. Публічний скрипт proof-of-concept вже поширюється.

Виправлені версії включають PAN-OS 12.1.4-h6 та 12.1.7, 11.2.12, 11.1.15 та 10.2.18-h6. Prisma Access 11.2.0 потребує версії 11.2.7-h13 або пізнішої, а Prisma Access 10.2.0 — версії 10.2.10-h36 або пізнішої.

Чому це важливо для команд безпеки

Почнемо з математики CVSS, оскільки вона пояснює, чому так багато організацій запізняться зі встановленням патча. Вразливість має середній бал CVSSv4. Rapid7 прямо рекомендує клієнтам вважати її критичним пріоритетом. Цей розрив існує тому, що CVSS враховує передумови, а передумови тут («authentication override увімкнено І сертифікат спільний із HTTPS-сервісом») на папері виглядають вузькими. На практиці повторне використання сертифікатів у розгортаннях GlobalProtect є поширеним явищем, оскільки альтернатива — другий цикл управління сертифікатом, окремий календар оновлень і ще одне місце для помилок при ротації. Більшість команд обрала зручність роки тому і забула про це.

Саме ця раніше зроблена вибір і робить експлойт дешевим. Зловмиснику не потрібні облікові дані, не потрібен фішинговий привід, не потрібен інсайдер. Йому потрібен публічний ключ із відкритого HTTPS-ендпоінту, який за визначенням надається на запит. Криптографічна помилка полягає у відсутності перевірки підпису в gpsvc після дешифрування — класична помилка «дешифруй і довіряй», яку будь-який інженер платіжних систем виявив би під час перевірки дизайну. Для керівників з безпеки це вже вдруге за вісімнадцять місяців, коли великий постачальник VPN випускає примітивну криптографічну помилку в компоненті, що виходить в інтернет, — і ця закономірність стає сигналом при закупівлях.

Поведінкові індикатори незвично чіткі. Фіксовані назви машин (GP-CLIENT, DESKTOP-GP01) і буквальна MAC-адреса-заповнювач (aa:bb:cc:dd:ee:ff) роблять виявлення тривіальним для будь-якої команди, що вже передає журнали GlobalProtect до SIEM. Правило виявлення Rapid7 «Suspicious Authentication, Palo Alto GlobalProtect Cookie Authentication to Local Admin Account» доступне для клієнтів InsightIDR/MDR. Команди без такого конвеєра повинні вже сьогодні написати еквівалентний запит до власного сховища журналів. Тактика загрозливого актора тут чітко відповідає MITRE ATT&CK T1078 (Valid Accounts) та T1133 (External Remote Services), і ваш контент виявлення має посилатися на обидва.

Вплив на галузь

CFO будь-якої регульованої фінтех-компанії, iGaming-оператора або криптовалютної біржі, що використовує Palo Alto для віддаленого доступу, цього тижня має запитати VP з безпеки: яке наше реальне фінансове викриття, якщо пристрій GlobalProtect вважати скомпрометованим між 13 травня та нашим вікном патчування, і чи зобов'язує нас наш страховик від кіберризиків вважати факт зламу встановленим, враховуючи внесення до CISA KEV? Це питання не риторичне. CVE, внесені до KEV, дедалі частіше є чіткою межею, яку страховики та аудитори використовують для визначення «відомого та невиправленого», і вартість затриманого патча проявиться у страхових преміях за шість місяців, а не у звітності про інциденти поточного кварталу.

Для платформних команд у iGaming та фінтех глибша проблема полягає в тому, що GlobalProtect часто є шлюзом між корпоративною ідентичністю та доступом до виробничої консолі. Повне призначення VPN IP-адреси, яке Rapid7 спостерігав у жертв другої хвилі, функціонально еквівалентне мережевій присутності всередині площини управління. Якщо ваші виробничі SSH-бастіони, консолі адміністрування баз даних або адміністративні інтерфейси платіжних процесорів доступні з VPN-діапазонів без додаткового zero-trust переходу, у вас є однофакторний шлях до регульованих систем. Така архітектура вже застаріла, а цей CVE — саме той тип події, що прискорює включення статті витрат до бюджету.

Питання «будувати самому чи купувати» тут є незручним. Замінити GlobalProtect на ZTNA-стек (Cloudflare Access, Tailscale, Zscaler Private Access або самостійно розгорнутий WireGuard із SSO-фронтендом) — це проект на шість-дванадцять місяців із реальними наслідками для найму, оскільки операційна модель зміщується від мережевих інженерів до інженерів з ідентифікації. Ринок праці для останніх є жорсткішим і дорожчим. Але залишення на периметровому VPN означає прийняття того, що кожен CVE пристрою є подією для звіту перед радою директорів, і врахування цього у вашому штаті з безпеки. Обидва шляхи коштують грошей. Лише один із них зупиняє повторювані новинні цикли.

Що далі

Оскільки публічний PoC поширюється, а CVE вже внесено до CISA KEV, очікуйте поширення масової експлуатації протягом наступних двох-чотирьох тижнів. Перші дві хвилі надійшли від Vultr і Dromatics Systems — обох хостинг-провайдерів із низьким порогом входу, — що вказує на опортуністичне сканування, а не на цілеспрямоване вторгнення. Успіх другої хвилі у отриманні повних VPN IP-адрес приверне брокерів доступу, а публічний PoC знижує поріг навичок настільки, що афіліати програм-вимагачів включать це до стандартних наборів для початкового доступу до кінця червня.

Стежте за трьома сигналами. По-перше, телеметрія бічного переміщення всередині організацій, що запізнилися з патчем, але не проводили пошук загроз: підробка файлів cookie не залишає артефактів облікових даних, тому оцінка компрометації після патчування важливіша, ніж зазвичай. По-друге, вторинні розкриття від Palo Alto щодо пов'язаних шляхів автентифікації, оскільки вразливості такої форми рідко існують поодинці в кодовій базі. По-третє, регуляторна позиція: якщо великий регульований оператор розкриє інцидент CVE-2026-0257, очікуйте, що FFIEC, MGA або державні регулятори ігрової індустрії почнуть запитувати про SLA для патчування пристроїв у наступному циклі перевірок.

Команди, що зараз оцінюють свій стек віддаленого доступу, повинні ставити собі гостріше запитання, ніж «чи ми запатчені». Питання в тому, чи варта наступна вразливість середнього рівня CVSS у цьому класі пристроїв обговорення на рівні ради директорів, або ж сама архітектура потребує змін до наступного поновлення.

Ключові висновки

• Негайно встановіть патч до PAN-OS 12.1.4-h6/12.1.7, 11.2.12, 11.1.15, 10.2.18-h6 або зазначених виправлених версій Prisma Access. Внесення до CISA KEV 29 травня 2026 року змінює вашу страхову та аудиторську позицію, навіть якщо ви швидко усунете вразливість.
• Припиніть спільне використання сертифікатів між authentication override та HTTPS-сервісом. Згенеруйте окремий сертифікат для шифрування файлів cookie або вимкніть authentication override, якщо він не потрібен операційно.
• Шукайте конкретні IOC: імена машин GP-CLIENT і DESKTOP-GP01, підроблена MAC-адреса aa:bb:cc:dd:ee:ff, автентифікація через cookie до локальних адміністраторських облікових записів, вихідні IP-адреси з Vultr і Dromatics Systems.
• Вважайте середній бал CVSSv4 таким, що вводить в оману. Rapid7 чітко вказує: це пріоритетна критична проблема, і публічний PoC у поєднанні з активною експлуатацією швидко закриває вікно безпечного усунення.
• Використайте цей CVE як привід для розмови про ZTNA. Якщо призначена VPN IP-адреса означає присутність у виробничій мережі у вашій архітектурі, наступна вразливість пристрою обійдеться ще дорожче, ніж ця.