Palo Alto Networks ranjivost za zaobilaženje autentifikacije aktivno se eksploatiše
Palo Alto Networks PAN-OS ranjivost CVE-2026-0257 aktivno se eksploatiše za zaobilaženje VPN autentifikacije. Hitno ažuriranje obavezno.
Šta se desilo?
Ranjivost CVE-2026-0257 u Palo Alto Networks PAN-OS i Prisma Access omogućava napadačima da zaobidu autentifikaciju i uspostave neovlašćene VPN konekcije. Ugrožena je nedrazumevana funkcionalnost nazvana "authentication override" koja omogućava GlobalProtect gateway-ima da izdaju session kolačiće bez ponovne autentifikacije. Namera ranjivosti je što CISA ju je zvanično dodala na listu aktivno eksploatisanih ranjivosti 29. maja 2026. godine.
Koga pogađa?
Organizacije koje koriste Palo Alto Networks PAN-OS i Prisma Access kao rešenja za VPN pristup su posebno rizični. Ugroženi su svi sektori, od finansija do zdravstva, jer napadači mogu dobiti direktan pristup internim mrežama bez validnih akredencijala. Takođe su rizični malji i srednje veliki preduzeća koja mogu ne ažurirati sisteme dovoljno brzo.
Kako se zaštititi?
- Hitno ažurirajte sve PAN-OS instance na verzije 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15 ili 10.2.18-h6
- Ažurirajte Prisma Access na verziju 11.2.7-h13 ili 10.2.10-h36
- Onemogućite authentication override funkcionalnost ako nije operativno neophodna
- Koristite poseban sertifikat isključivo za šifrovanje authentication override kolačića, nikada ga ne delite sa HTTPS servisom
- Pregledajte VPN i GlobalProtect logove za sumnjive autentifikacije sa MAC adresom aa:bb:cc:dd:ee:ff
- Primените detection pravila za AlertingIDR/MDR sisteme
Tehnički detalji
CVE-2026-0257 je ranjivost u /usr/local/bin/gpsvc binarnoj datoteci koja ne vrši verifikaciju potpisa nakon dešifrovanja authentication kolačića. Napadač koji može da pribavi javni ključ iz izloženog HTTPS sertifikata može da krene validne authentication kolačiće. Istraživanja Rapid7 otkrivaju dve talase eksploatacije: prvi od 17. maja sa IP adrese 104.207.144.154 sa mašinskim imenom GP-CLIENT, i drugi od 21. maja sa IP adresa 146.19.216.119/120/125 sa mašinskim imenom DESKTOP-GP01. U drugom talasu su neki napadači dobili punu VPN IP dodelu sa direktnim pristupom internim mrežama.
Preporuka Sajber Radara
Organizacije moraju prioritetno da tretiraju ovu ranjivost kao kritičnu bez obzira na srednju CVSS vrednost, jer predstavlja značajan vektor inicijalnog pristupa na internet-dostupnom VPN uređaju. S obzirom na aktivnu eksploataciju i dostupan javni proof-of-concept kod, proces zakrpljivanja postaje sve hitnije.