Злоумышленники приступили к массовому использованию опасной уязвимости в системе PAN-OS от компании Palo Alto Networks, хотя патчи для неё были опубликованы ещё в середине мая. Дефект CVE-2026-0257 даёт возможность обходить механизмы аутентификации на соответствующем оборудовании и организовывать VPN-подключения.
PAN-OS представляет собой фирменную операционную среду, на которой работают межсетевые экраны Palo Alto Networks серии NGFW. В её основе лежит ядро Linux, дополненное и усиленное разнообразными защитными механизмами.
Уязвимость CVE-2026-0257 (оценка 9,1 балла по шкале CVSS) касается компонентов портала и шлюза GlobalProtect в Palo Alto Networks PAN-OS, однако не влияет на развёртывания Panorama или Cloud NGFW.
Первые свидетельства активного применения этой уязвимости в реальных условиях (in the wild) были обнаружены специалистами компании Rapid7; вскоре стало ясно, что первоначальный показатель угрозы CVE-2026-0257 по шкале CVSS — 4,7 балла — был неверным: на самом деле речь шла о проблеме критического уровня.
Распространённой ошибкой при конфигурации межсетевого экрана является применение одного сертификата как для службы HTTPS, так и для шифрования cookie-файлов. Если такая ситуация имеет место, злоумышленник способен извлечь открытый ключ непосредственно из HTTPS-сессии, после чего сформировать cookie от имени любого пользователя, включая локальную учётную запись администратора; устройство будет считать этот файл полностью легитимным.
Группа Rapid7 Labs создала скрипт, наглядно демонстрирующий это на практике: с его помощью можно получить полную последовательность сертификатов, выполнить итерацию по каждому из них, сгенерировать cookie и проверить его. Вся атака занимает всего несколько секунд.
«Если взглянуть на функцию main_DecryptAppAuthCookie, проблема становится очевидной», — отмечается в отчёте, опубликованном Rapid7. — «Входящий зашифрованный cookie-файл декодируется в base64, а затем расшифровывается с помощью закрытого ключа. Расшифрованное содержимое принимается безоговорочно: после расшифровки не выполняется никакой проверки подписи».
Первая волна атак была зафиксирована в ночь на 18 мая 2026 года. Её источником стала инфраструктура, связанная с облачным провайдером Vultr. Согласно логам, входящие соединения идентифицировались как входы от имени локальных администраторов. Источниками были системы на базе Linux с именем хоста GP-Client и поддельным MAC-адресом.
Вторая волна началась 21 мая, и её источником стала инфраструктура хостинг-провайдера Dromatics Systems. Хотя имя хоста было иным — DESKTOP-GP01, в атаках использовался тот же MAC-адрес, что прямо указывало на одного и того же оператора.
Во время второй волны атак часть затронутых систем получила новые IP-адреса виртуальной сети, что указывало на проникновение злоумышленника во внутреннюю сеть за межсетевым экраном.
Однако, как это ни удивительно, следов дальнейшего перемещения внутри этой сети обнаружено не было.
В 8 случаях из 10 поддельный файл cookie был принят системой, однако полноценная VPN-сессия после этого так и не была установлена.
«Вероятно, это было тестирование возможностей, которые открываются после успешной аутентификации, — полагает Никита Павлов, специалист по кибербезопасности компании SEQ. — Нельзя исключать, что атаку проводили «брокеры», которым не нужно глубокое проникновение в сети пострадавших организаций, но они с радостью продают доступ к ним другим злоумышленникам. То, что уязвимость попала в известный перечень американского агентства CISA, говорит о необходимости серьезного подхода к проблеме».
Все пострадавшие системы объединяли две особенности: служба Cloud Authentication была отключена, а переопределение файлов cookie аутентификации было активным, причем один и тот же сертификат cookie использовался совместно со службой HTTPS.
Уязвимыми являются только те системы, которые соответствуют этим двум условиям.
Решение проблемы заключается в обновлении PAN-OS. В качестве временной меры можно отключить функцию переопределения аутентификации или создать сертификат, предназначенный исключительно для шифрования cookie-файлов, который не будет использоваться другими службами.
