PAN-OS CVE-2026-0257 експлуатують: оновіть GlobalProtect VPN

CISA додала PAN-OS CVE-2026-0257 до KEV після експлуатації. Перевірте GlobalProtect portal/gateway, оновіть PAN-OS і вимкніть небезпечні authentication override cookies.

Ілюстрація підробленого authentication cookie, що обходить GlobalProtect VPN gateway для CVE-2026-0257

Palo Alto Networks оновила advisory для CVE-2026-0257, уразливості обходу автентифікації в PAN-OS GlobalProtect, після обмежених спроб експлуатації проти непатчених пристроїв. CISA додала цю CVE до каталогу Known Exploited Vulnerabilities 29 травня 2026 року з датою виправлення 1 червня для федеральних систем США. Практичний ризик прямий: уразливий GlobalProtect portal або gateway може дозволити зловмиснику встановити несанкціоноване VPN-з’єднання, якщо конфігурація збігається з умовами advisory.

Це не просто ще одне повідомлення про патч. GlobalProtect часто стоїть на периметрі мережі, тому обхід VPN-автентифікації може стати початком внутрішньої розвідки, крадіжки облікових даних, lateral movement або зловживання довіреним доступом. Адміністраторам варто перевіряти не лише версію PAN-OS, а й VPN-сесії та події після входу.

Кого це стосується

За даними Palo Alto, уразливість стосується PAN-OS firewall з налаштованими GlobalProtect portal або gateway, коли увімкнені authentication override cookies і є специфічна конфігурація сертифіката. Panorama та Cloud NGFW не зачеплені. Для Prisma Access оновлення виконується за графіком постачальника.

Що перевіритиЧому це важливоЩо зробити зараз
GlobalProtect portalГенерація або приймання authentication override cookie може бути частиною уразливого шляху.Перевірте Agent authentication settings і вимкніть override cookies, якщо вони не потрібні.
GlobalProtect gatewayGateway, який приймає override cookies, може дозволити несанкціоноване VPN-з’єднання за уразливої конфігурації.Оновіть PAN-OS до виправленої гілки й перегляньте налаштування Authentication Override.
Повторне використання сертифікатаMitigation від Palo Alto прямо вимагає окремий сертифікат для override cookies.Використайте окремий захищений сертифікат або вимкніть функцію.
VPN-логи та сесіїЕксплуатація може виглядати як успішна VPN-сесія, а не як серія невдалих входів.Шукайте незвичні IP, країни, час сесій, user mapping і події після підключення.

Виправлені версії та mitigations

Palo Alto перелічує виправлені релізи для гілок PAN-OS 12.1, 11.2, 11.1 і 10.2. Найкоротше правило: оновіть пристрій до виправленого релізу для вашої гілки або до новішої підтримуваної версії з advisory. Непідтримувані версії PAN-OS треба переносити на підтримувану виправлену версію.

Якщо патч не можна встановити негайно, зменште ризик: вимкніть Authentication Override на GlobalProtect portal і gateway або створіть новий сертифікат, який використовується лише для authentication override cookies. Не використовуйте той самий сертифікат, що й для portal або gateway. Після оновлення користувачам GlobalProtect доведеться пройти повторну автентифікацію, бо виправлення перегенерує override cookies безпечнішим способом.

Що перевірити після оновлення

  1. Знайдіть усі інтернет-доступні GlobalProtect portals і gateways, включно з резервними та філіальними пристроями.
  2. Зіставте версію PAN-OS і hotfix-рівень з таблицею виправлених версій Palo Alto.
  3. Перевірте, чи portal або gateway генерує чи приймає authentication override cookies.
  4. Перегляньте останні VPN-сесії: незвичні країни, hosting-провайдери, impossible travel, короткі сесії або акаунти, які рідко користуються VPN.
  5. Подивіться, що сталося після VPN-доступу: адмінські входи, новий remote-management traffic, доступ до файлових ресурсів, підозрілий PowerShell, scheduled tasks або endpoint alerts.
  6. Відкличте підозрілі сесії, змініть паролі там, де доступ сумнівний, і перевірте endpoints на шкідливу активність за допомогою надійного засобу, зокрема Gridinsoft Anti-Malware, якщо поведінка робочої станції виглядає незвично.

Для контексту: нещодавно Gridinsoft писав про критичні CVE в UniFi OS і Gogs RCE без патча. CVE-2026-0257 має інший механізм, але практичний урок той самий: периметрові системи безпеки треба не тільки оновлювати, а й перевіряти на сліди успішного доступу.

Ще один приклад термінової перевірки perimeter/admin-систем: FortiClient EMS CVE-2026-35616 використали для доставки EKZ Stealer під виглядом патча. Практичний чеклист: FortiClient EMS CVE-2026-35616: пастка з патчем.

FAQ

CVE-2026-0257 уже експлуатують?

Так. Palo Alto Networks позначає exploit maturity як attacked і повідомляє про обмежені спроби експлуатації проти непатчених PAN-OS пристроїв без mitigations. CISA додала CVE до KEV 29 травня 2026 року.

Це зачіпає кожен PAN-OS firewall?

Ні. Уразливий шлях потребує GlobalProtect portal або gateway, authentication override cookies і сертифікатної умови, описаної Palo Alto. Але кожен інтернет-доступний GlobalProtect deployment варто перевірити негайно.

Чи достатньо вимкнути Authentication Override?

Це mitigation, коли патч неможливо поставити одразу, але він не замінює оновлення до виправленої версії PAN-OS. Після mitigation перегляньте VPN-сесії та authentication logs на ознаки попереднього зловживання.

Що робити звичайним користувачам?

Більшість домашніх користувачів не адмініструє PAN-OS GlobalProtect gateway. Якщо ви бачите незвичні VPN-запити або активність акаунта, повідомте організацію, яка керує VPN, і не підтверджуйте неочікувані запити доступу.

Джерела

  1. Palo Alto Networks. “CVE-2026-0257 PAN-OS: GlobalProtect Authentication Bypass Vulnerabilities.” Palo Alto Networks Security Advisories, опубліковано 13 травня 2026 року; оновлено 29 травня 2026 року; дата доступу 30 травня 2026 року. https://security.paloaltonetworks.com/CVE-2026-0257
  2. Cybersecurity and Infrastructure Security Agency. “Known Exploited Vulnerabilities Catalog.” CISA, catalog version 2026.05.29; дата доступу 30 травня 2026 року. https://www.cisa.gov/known-exploited-vulnerabilities-catalog

Пишу про те, як зробити життя онлайн комфортним і безпечним. Вірю, що сучасний цифровий світ вартий того, щоб бути його частиною.