Palo Alto Networks оновила advisory для CVE-2026-0257, уразливості обходу автентифікації в PAN-OS GlobalProtect, після обмежених спроб експлуатації проти непатчених пристроїв. CISA додала цю CVE до каталогу Known Exploited Vulnerabilities 29 травня 2026 року з датою виправлення 1 червня для федеральних систем США. Практичний ризик прямий: уразливий GlobalProtect portal або gateway може дозволити зловмиснику встановити несанкціоноване VPN-з’єднання, якщо конфігурація збігається з умовами advisory.
Це не просто ще одне повідомлення про патч. GlobalProtect часто стоїть на периметрі мережі, тому обхід VPN-автентифікації може стати початком внутрішньої розвідки, крадіжки облікових даних, lateral movement або зловживання довіреним доступом. Адміністраторам варто перевіряти не лише версію PAN-OS, а й VPN-сесії та події після входу.
Кого це стосується
За даними Palo Alto, уразливість стосується PAN-OS firewall з налаштованими GlobalProtect portal або gateway, коли увімкнені authentication override cookies і є специфічна конфігурація сертифіката. Panorama та Cloud NGFW не зачеплені. Для Prisma Access оновлення виконується за графіком постачальника.
| Що перевірити | Чому це важливо | Що зробити зараз |
|---|---|---|
| GlobalProtect portal | Генерація або приймання authentication override cookie може бути частиною уразливого шляху. | Перевірте Agent authentication settings і вимкніть override cookies, якщо вони не потрібні. |
| GlobalProtect gateway | Gateway, який приймає override cookies, може дозволити несанкціоноване VPN-з’єднання за уразливої конфігурації. | Оновіть PAN-OS до виправленої гілки й перегляньте налаштування Authentication Override. |
| Повторне використання сертифіката | Mitigation від Palo Alto прямо вимагає окремий сертифікат для override cookies. | Використайте окремий захищений сертифікат або вимкніть функцію. |
| VPN-логи та сесії | Експлуатація може виглядати як успішна VPN-сесія, а не як серія невдалих входів. | Шукайте незвичні IP, країни, час сесій, user mapping і події після підключення. |
Виправлені версії та mitigations
Palo Alto перелічує виправлені релізи для гілок PAN-OS 12.1, 11.2, 11.1 і 10.2. Найкоротше правило: оновіть пристрій до виправленого релізу для вашої гілки або до новішої підтримуваної версії з advisory. Непідтримувані версії PAN-OS треба переносити на підтримувану виправлену версію.
Якщо патч не можна встановити негайно, зменште ризик: вимкніть Authentication Override на GlobalProtect portal і gateway або створіть новий сертифікат, який використовується лише для authentication override cookies. Не використовуйте той самий сертифікат, що й для portal або gateway. Після оновлення користувачам GlobalProtect доведеться пройти повторну автентифікацію, бо виправлення перегенерує override cookies безпечнішим способом.
Що перевірити після оновлення
- Знайдіть усі інтернет-доступні GlobalProtect portals і gateways, включно з резервними та філіальними пристроями.
- Зіставте версію PAN-OS і hotfix-рівень з таблицею виправлених версій Palo Alto.
- Перевірте, чи portal або gateway генерує чи приймає authentication override cookies.
- Перегляньте останні VPN-сесії: незвичні країни, hosting-провайдери, impossible travel, короткі сесії або акаунти, які рідко користуються VPN.
- Подивіться, що сталося після VPN-доступу: адмінські входи, новий remote-management traffic, доступ до файлових ресурсів, підозрілий PowerShell, scheduled tasks або endpoint alerts.
- Відкличте підозрілі сесії, змініть паролі там, де доступ сумнівний, і перевірте endpoints на шкідливу активність за допомогою надійного засобу, зокрема Gridinsoft Anti-Malware, якщо поведінка робочої станції виглядає незвично.
Для контексту: нещодавно Gridinsoft писав про критичні CVE в UniFi OS і Gogs RCE без патча. CVE-2026-0257 має інший механізм, але практичний урок той самий: периметрові системи безпеки треба не тільки оновлювати, а й перевіряти на сліди успішного доступу.
Ще один приклад термінової перевірки perimeter/admin-систем: FortiClient EMS CVE-2026-35616 використали для доставки EKZ Stealer під виглядом патча. Практичний чеклист: FortiClient EMS CVE-2026-35616: пастка з патчем.
FAQ
CVE-2026-0257 уже експлуатують?
Так. Palo Alto Networks позначає exploit maturity як attacked і повідомляє про обмежені спроби експлуатації проти непатчених PAN-OS пристроїв без mitigations. CISA додала CVE до KEV 29 травня 2026 року.
Це зачіпає кожен PAN-OS firewall?
Ні. Уразливий шлях потребує GlobalProtect portal або gateway, authentication override cookies і сертифікатної умови, описаної Palo Alto. Але кожен інтернет-доступний GlobalProtect deployment варто перевірити негайно.
Чи достатньо вимкнути Authentication Override?
Це mitigation, коли патч неможливо поставити одразу, але він не замінює оновлення до виправленої версії PAN-OS. Після mitigation перегляньте VPN-сесії та authentication logs на ознаки попереднього зловживання.
Що робити звичайним користувачам?
Більшість домашніх користувачів не адмініструє PAN-OS GlobalProtect gateway. Якщо ви бачите незвичні VPN-запити або активність акаунта, повідомте організацію, яка керує VPN, і не підтверджуйте неочікувані запити доступу.
Джерела
- Palo Alto Networks. “CVE-2026-0257 PAN-OS: GlobalProtect Authentication Bypass Vulnerabilities.” Palo Alto Networks Security Advisories, опубліковано 13 травня 2026 року; оновлено 29 травня 2026 року; дата доступу 30 травня 2026 року. https://security.paloaltonetworks.com/CVE-2026-0257
- Cybersecurity and Infrastructure Security Agency. “Known Exploited Vulnerabilities Catalog.” CISA, catalog version 2026.05.29; дата доступу 30 травня 2026 року. https://www.cisa.gov/known-exploited-vulnerabilities-catalog
