Критическая дыра в Palo Alto GlobalProtect: как злоумышленники заходят в сеть без пароля

Для атаки не требуется никакого взаимодействия с пользователем и никаких привилегий на целевой системе. Уязвимость эксплуатируется по сети, имеет низкую сложность атаки, что и объясняет присвоенный ей в итоге критический рейтинг .

Молниеносная эскалация: от «средней» до «критической»

Когда Palo Alto Networks впервые опубликовала уведомление 13 мая 2026 года, она классифицировала CVE-2026-0257 как уязвимость средней степени тяжести с оценкой CVSS 7.8 . Многие новостные издания в сфере кибербезопасности до сих пор тиражируют эту первоначальную оценку.

Однако повторный анализ, проведенный Национальной базой данных уязвимостей (NVD), а вслед за ней и другими правительственными агентствами, резко повысил уровень угрозы. С 29 мая 2026 года NVD обновила запись, и официальная правительственная оценка была поднята до критического уровня CVSS v3.1 — 9.1 из 10 . Агентство кибербезопасности Сингапура (CSA) и другие источники данных об уязвимостях теперь также отражают оценку 9.1 . Этот разрыв между первоначальным рейтингом вендора и окончательным вердиктом правительственных структур — критическая деталь, которая привела к тому, что многие организации отложили установку патча в первые, самые опасные недели.

Хронология атак: две волны с IP-адресов Vultr

Путь от раскрытия до активной эксплуатации оказался чрезвычайно коротким. Команда Managed Detection and Response (MDR) компании Rapid7 зафиксировала первые успешные атаки уже 17 мая, всего через четыре дня после публикации бюллетеня безопасности . К 29 мая Агентство кибербезопасности США (CISA) добавило CVE-2026-0257 в свой каталог известных эксплуатируемых уязвимостей (KEV) и установило для федеральных ведомств обязательный срок устранения: 1 июня 2026 года .

Подтверждены две отдельные волны атак. Первая волна исходила с инфраструктуры, размещенной у хостинг-провайдера Vultr, 17-18 мая, а вторая последовала с инфраструктуры Dromatics Systems 21 мая . Анализ данных указывает на то, что в обеих волнах использовались одинаковые MAC-адреса, это говорит о том, что за атаками стоит одна и та же группировка . В каждом зафиксированном случае злоумышленники подделывали cookie-файлы переопределения аутентификации, нацеливаясь непосредственно на учетную запись локального администратора на скомпрометированных устройствах .

Крайне важно, что, хотя Rapid7 подтвердил факт успешной установки VPN-подключений у 8 из 10 пострадавших клиентов MDR, признаков успешного горизонтального перемещения (lateral movement) со взломанных устройств пока не наблюдалось . Эта деталь дает защитникам небольшое, но критически важное окно возможностей, чтобы локализовать вторжение до того, как атакующие продвинутся вглубь сети.

Доступный код атаки и затронутые продукты

Риск усугубляется публичной доступностью эксплойта. Многочисленные отчеты подтверждают, что как минимум один, а скорее всего, несколько вариантов кода для проверки концепции (PoC) лежат в открытых репозиториях, что снижает порог для новых атак .

Список затронутых продуктов четко определен. Уязвимости подвержены версии PAN-OS 10.2, 11.1, 11.2 и 12.1 на устройствах PA-Series и VM-Series, а также облачная платформа Prisma Access . Две ключевые линейки продуктов явно не затронуты: системы централизованного управления Panorama и облачные межсетевые экраны Cloud NGFW .

Четыре неотложных шага для защиты

Компания Palo Alto Networks выпустила патчи для всех поддерживаемых веток прошивок. Обновленные версии ПО включают исправление, которое блокирует прием поддельных cookie .

Самая комплексная стратегия защиты включает в себя четыре немедленных действия.

Первое. Обновите PAN-OS до последней пропатченной версии для вашей ветки. Список исправленных релизов: для PAN-OS 12.1 — версии 12.1.4-h6 и 12.1.7; для 11.2 — версии 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 и 11.2.12; аналогичные обновления существуют для веток 11.1 и 10.2 . Клиентам Prisma Access также необходимо обновиться до соответствующих исправленных версий.

Второе. Если функция cookie-файлов переопределения аутентификации (authentication override) не является критически важной для ваших бизнес-процессов, полностью отключите ее. Это убирает уязвимое предусловие, а не просто конкретный способ эксплуатации .

Третье. Измените конфигурацию сертификатов. Никогда не используйте один и тот же сертификат для веб-интерфейса управления (HTTPS) и для шифрования cookie GlobalProtect. Использование отдельного, выделенного сертификата для шифрования cookie разрывает сам механизм, с помощью которого можно создать поддельный cookie .

Четвертое. Немедленно начните активный аудит логов. Ищите аномальные события создания сессий, подключения с незнакомых IP-адресов, особенно с известной атакующей инфраструктуры (например, из автономной системы Vultr), и неожиданные случаи использования cookie переопределения аутентификации . Поскольку горизонтальное перемещение атакующих по сети пока не подтверждено, аудит логов — это ваш лучший инструмент для того, чтобы понять, не произошла ли компрометация раньше.

Крайний срок, установленный CISA, — 1 июня, сегодня. Организации, которые еще не применили эти патчи, сейчас работают под подтвержденной, активно эксплуатируемой угрозой критического уровня. Окно возможностей для превентивного устранения проблемы, а не последующего расследования инцидента, стремительно закрывается.