„Palo Alto Networks“ perspėja, kad įsilaužėliai dabar naudoja PAN-OS GlobalProtect autentifikavimo apėjimo trūkumą, pažymėtą CVE-2026-0257, bandydami pažeisti įmonių tinklus.
Bendrovė anksčiau šį mėnesį ištaisė CVE-2026-0257 trūkumą, įspėjusi, kad jis gali būti naudojamas neteisėtiems VPN ryšiams įrenginyje užmegzti.
„Palo Alto Networks PAN-OS® programinės įrangos GlobalProtect portalas ir šliuzas leidžia užpuolikui apeiti saugumo apribojimus ir užmegzti neteisėtą VPN ryšį“, – rašoma Palo Alto patarime.
Defektui suteiktas vidutinio sunkumo įvertinimas, nes reikalaujama, kad įrenginiai būtų sukonfigūruoti taip, kad būtų įjungti autentifikavimo nepaisymo slapukai ir konkreti sertifikato konfigūracija.
Tačiau penktadienį „Palo Alto Networks“ atnaujino įspėjimą, kad įspėtų, kad šiuo metu klaida buvo aktyviai naudojama atakoms prieš nepataisytus įrenginius, todėl sunkumo įvertinimas buvo padidintas iki aukšto.
„Palo Alto Networks sužinojo apie ribotus bandymus išnaudoti nepataisytus PAN-OS įrenginius, netaikant švelninimo priemonių“, – rašoma atnaujinime.
Šis naujinimas pateikiamas po to, kai Rapid7 perspėjo, kad nuo gegužės 17 d. pastebėjo, kad trūkumas buvo naudojamas prieš daugelį klientų.
„Rapid7 MDR nustatė sėkmingą daugelio klientų eksploatavimą, tačiau nepastebėjome jokių sėkmingo prietaisų judėjimo į šoną požymių. Anksčiausia stebėjimo data buvo 2026 m. gegužės 17 d.”, – aiškina „Rapid7”.
„Nuo 2026 m. gegužės 29 d. šis pažeidžiamumas buvo įtrauktas į CISA KEV.
Anot „Rapid7“, atakos prasidėjo nuo įsilaužėlių, kurie autentifikavo „GlobalProtect“ šliuzus naudodami suklastotus autentifikavimo nepaisymo slapukus, nukreiptus į vietinio administratoriaus paskyrą.
Bendrovė pirmą kartą pastebėjo išnaudojimą iš „Vultr“ valdomos infrastruktūros gegužės 18 d., o antroji atakų banga buvo aptikta gegužės 21 d., kurią sukėlė „Dromatics Systems“.
Kai kuriais atvejais užpuolikai galėjo prisijungti prie įrenginio per VPN naudodami suklastotus slapukus, suteikdami jiems prieigą prie vidinių tinklų. Tačiau „Rapid7“ teigia, kad daugeliu atvejų, nors įrenginys priėmė suklastotą slapuką, jiems nepavyko sukurti visos VPN seanso.
„Rapid7“ tyrimas dėl paveiktų klientų nustatė, kad paveiktuose įrenginiuose buvo įjungti „GlobalProtect“ autentifikavimo nepaisymo slapukai ir jie buvo sukonfigūruoti taip, kad užpuolikai galėtų suklastoti galiojančius autentifikavimo slapukus.
Tyrėjai teigia, kad klaida kyla dėl PAN-OS patvirtinimo, kad slapukai nepaisytų autentifikavimo.
GlobalProtect VPN įrenginys iššifruoja šių tipų slapukus naudodamas sukonfigūruotą privatųjį raktą ir tada pasitiki iššifruotu turiniu neatlikdamas jokio parašo tikrinimo.
Jei tas pats sertifikatas pakartotinai naudojamas HTTPS paslaugoms ir autentifikavimo nepaisymo slapukams, užpuolikai gali gauti atitinkamą viešąjį raktą per HTTPS seansą ir naudoti jį kurdami suklastotus slapukus, kuriuos įrenginys priims kaip teisėtus.
„Rapid7“ sukūrė koncepcijos įrodymo išnaudojimą, kuris parodo, kaip užpuolikas gali nuskaityti viešuosius sertifikatus, kuriuos atskleidžia „GlobalProtect“ portalas arba šliuzas, sugeneruoti suklastotą autentifikavimo nepaisymo slapuką savavališkam vartotojui ir autentifikuoti nežinodamas galiojančių kredencialų. Naudodami šį PoC mokslininkai sėkmingai patvirtino nepataisytą GlobalProtect šliuzą.
Organizacijos, naudojančios GlobalProtect VPN įrenginius, turėtų nedelsdamos įdiegti naujausius saugos naujinimus, kad ištaisytų trūkumus.
Administratoriai taip pat gali sumažinti trūkumą išjungdami autentifikavimo nepaisymo funkciją arba naudodami kitą šios funkcijos sertifikatą ir nebendrindami jo su kitomis įrenginio paslaugomis.
CISA dabar įtraukė trūkumą į žinomų išnaudotų pažeidžiamų vietų katalogą, nurodydama federalinėms agentūroms iki 2026 m. birželio 1 d.
Automatiniai tikrinimo įrankiai suteikia tikrą vertę, tačiau jie buvo sukurti siekiant atsakyti į vieną klausimą: ar užpuolikas gali judėti tinkle? Jie nebuvo sukurti siekiant patikrinti, ar jūsų valdikliai blokuoja grėsmes, ar suveikia aptikimo taisyklės, ar galioja debesies konfigūracijos.
Šis vadovas apima 6 paviršius, kuriuos iš tikrųjų reikia patvirtinti.
Atsisiųskite dabar