Palo Alto Networks a avertizat că o vulnerabilitate de securitate de gravitate medie, dezvăluită recent, care afectează PAN-OS și Prisma Access, este exploatată activ în mediul real.
Vulnerabilitatea, identificată ca CVE-2026-0257 (scor CVSS: 7,8), se referă la un caz de ocolire a autentificării care ar putea fi exploatat de actori infractori cibernetici pentru a configura conexiuni VPN, potrivit BleepingComputer.
Palo Alto Networks avertizează că hackerii exploatează vulnerabilitatea de ocolire a autentificării PAN-OS GlobalProtect, identificată ca CVE-2026-0257, în atacuri care încearcă să penetreze rețelele corporative.
Această evoluție survine după ce Rapid7, o companie specializată în securitate cibernetică, a dezvăluit că a identificat exploatări reușite la numeroși clienți, primele încercări datând din 17 mai 2026, urmate de un al doilea val pe 21 mai. Se estimează că ambele seturi de exploatări sunt opera aceluiași grup infracțional.
Activitatea observată în al doilea val a implicat alocarea de adrese IP VPN în urma autentificării pe bază de cookie în două cazuri, acordând atacatorului acces la rețeaua internă. Nu s-au înregistrat activități ulterioare în mediile clienților în care a fost stabilită o sesiune VPN, a adăugat furnizorul de soluții de securitate cibernetică. Cu toate acestea, Rapid7 afirmă că, în multe incidente, chiar dacă dispozitivul a acceptat cookie-ul falsificat, atacatorii nu au reușit să stabilească o sesiune VPN completă.
Potrivit Rapid7, atacurile au început cu autentificarea hackerilor la gateway-urile GlobalProtect, folosind cookie-uri falsificate de suprascriere a autentificării care vizau contul de administrator local.
Ancheta Rapid7 asupra clienților afectați a constatat că dispozitivele afectate aveau activate cookie-urile de suprascriere a autentificării GlobalProtect și erau configurate într-un mod care le permitea atacatorilor să falsifice cookie-uri de autentificare valide.
Cercetătorii afirmă că vulnerabilitatea provine din validarea de către PAN-OS a cookie-urilor de suprascriere a autentificării.
Un dispozitiv VPN GlobalProtect decriptează aceste tipuri de cookie-uri folosind o cheie privată configurată și apoi are încredere în conținutul decriptat fără a efectua nicio verificare a semnăturii.
Dacă același certificat este reutilizat atât pentru serviciile HTTPS, cât și pentru cookie-urile de suprascriere a autentificării, atacatorii pot obține cheia publică corespunzătoare prin sesiunea HTTPS și apoi o pot folosi pentru a crea cookie-uri falsificate pe care dispozitivul le va accepta ca fiind legitime.
Rapid7 a dezvoltat un exploit de tip proof-of-concept care demonstrează modul în care un atacator poate recupera certificatele publice expuse de un portal sau gateway GlobalProtect, poate genera un cookie falsificat de suprascriere a autentificării pentru un utilizator arbitrar și se poate autentifica fără a cunoaște datele de autentificare valide. Folosind acest PoC, cercetătorii s-au autentificat cu succes la un gateway GlobalProtect neactualizat.
Palo Alto Networks a remediat vulnerabilitatea CVE-2026-0257 la începutul acestei luni, avertizând că aceasta ar putea fi utilizată pentru a stabili conexiuni VPN neautorizate pe dispozitiv.
„Portalul GlobalProtect și gateway-ul software-ului PAN-OS al Palo Alto Networks permit atacatorului să ocolească restricțiile de securitate și să stabilească o conexiune VPN neautorizată”, se arată în avizul Palo Alto.
Vulnerabilitatea a primit un nivel de gravitate mediu, deoarece necesită configurarea dispozitivelor cu cookie-uri de suprascriere a autentificării activate și o configurație specifică a certificatului.
Cu toate acestea, vineri, Palo Alto Networks a actualizat avizul pentru a avertiza că vulnerabilitatea este acum exploatată activ în atacuri împotriva dispozitivelor neactualizate, ridicând nivelul de gravitate la nivel ridicat.
„Palo Alto Networks a luat cunoștință de încercări limitate de exploatare a dispozitivelor PAN-OS neactualizate, fără măsuri de atenuare aplicate”, se arată în actualizare. „Începând cu 29 mai 2026, această vulnerabilitate a fost adăugată la CISA KEV.”
Organizațiile care utilizează dispozitive VPN GlobalProtect ar trebui să instaleze imediat cele mai recente actualizări de securitate pentru a remedia vulnerabilitățile.
Administratorii pot, de asemenea, să atenueze vulnerabilitatea prin dezactivarea funcției de suprascriere a autentificării sau prin utilizarea unui certificat diferit pentru această funcție, fără a-l partaja cu alte servicii de pe dispozitiv.
About the Author
