Kritično: Eksploatacija ranjivosti u Palo Alto Networks GlobalProtect gatveju potvrđena u divljaču
Rapid7 potvrdio aktivnu eksploataciju CVE-2026-0257 u Palo Alto Networks GlobalProtect - ranjivost dozvoljava VPN pristup bez kredencijala.
Šta se desilo?
Kompanija Rapid7 je detektovala aktivnu eksploataciju CVE-2026-0257, ranjivosti koja omogućava zaobilaženje autentifikacije u Palo Alto Networks PAN-OS i Prisma Access. Iako je Palo Alto Networks ranjivost klasifikovao kao srednje ozbiljnu, Rapid7 je izrazito alarmantan jer omogućava udaljenim napadačima bez akreditiva da se povežu na VPN kroz GlobalProtect mrežnu kapiju. Eksploatacija je prvi put primećena 17. maja 2026, a Rapid7 je potvrdio da je do nje dolazilo najmanje dva puta tokom maja.
Koga pogađa?
Ranjive su organizacije koje koriste Palo Alto Networks PAN-OS i Prisma Access sa specifičnom konfiguracijom - konkretno onim kod kojih je Cloud Authentication Service (CAS) onemogućen i authentication override kolačići su aktivirani na GlobalProtect portalu ili gatveju. Posebno su ugrožene enterprise okoline sa VPN okrenute prema spoljnoj mreži.
Kako se zaštititi?
- Neodložno ažurirajte na poslednju verziju PAN-OS-a sa dostupnom popravkom od Palo Alto Networks
- Ako koristite GlobalProtect, proverite konfiguraciju i obezbedite da authentication override kolačići budu onemogućeni ako nisu neophodni
- Omogućite Cloud Authentication Service (CAS) ako vaša infrastruktura to dozvoljava
- Analizirajte logove autentifikacije tražeći sumnjive kolačić logine na administratorskom nalogu, posebno sa IP adresa javnih hosting provajdera
- Primenite segmentaciju mreže kako biste ograničili lateralno kretanje u slučaju kompromisa VPN pristupa
- Implementirajte monitoring za sumnjive oblike autentifikacije kroz GlobalProtect gateway
Tehnički detalji
CVE-2026-0257 se odnosi na ranjivost u authentication override mehanizmu. Funkcionalnost dozvoljava GlobalProtect portalu ili gatveju da izda kolačiće autentifikovanim korisnicima koji se kasnije mogu koristiti umesto ponovne autentifikacije sa kredencijlama. Problem nastaje kada sertifikat korišćen za enkripciju i dekriptovanje ovih kolačića nije isti kao sertifikat korišćen za HTTPS servis. Napadači mogu iskoristiti ovu grešku da dekriptuju i manupulišu kolačićima, omogućavajući im pristup kao administratorskim nalogima. Rapid7 je detektovao napade iz Vultr i Dromatics Systems hosting pružaoca, sa istom MAC adresom što ukazuje da je ista grupa napadača odgovorna za obe kampanje. U drugoj talasi eksploatacije (21. maj), posle uspešne autentifikacije kolačićima, napadači su u manjini slučajeva dobili i VPN IP adresu, što je omogućilo pristup internoj mreži.
Preporuka Sajber Radara
Unatoč klasifikaciji CVSS-a kao srednje ozbiljne, prenosimo hitnu preporuku Rapid7-a da sve organizacije sa Palo Alto Networks VPN infrastrukturom trebaju odmah da primenite zakrpu. Ranjivost u edge-facing VPN appliance-u može imati katastrofalne posledice za organizacionu bezbednost i mora se tretirati sa najvišim prioritetom.