Foto: BleepingComputer
Palo Alto Networks upozorava da hakeri sada iskorištavaju PAN-OS GlobalProtect propust za zaobilaženje autentifikacije, označen kao CVE-2026-0257, u napadima koji ciljaju proboj u korporativne mreže. Tvrtka je propust zakrpala ranije ovog mjeseca, a sada je ažurirala svoje upozorenje i podigla ozbiljnost s Medium na High nakon što je navela da su uočeni ograničeni pokušaji eksploatacije na nezakrpanim PAN-OS uređajima bez primijenjenih zaštitnih mjera.
Prema Palo Alto Networksovom upozorenju, GlobalProtect portal i gateway u PAN-OS softveru napadaču mogu omogućiti zaobilaženje sigurnosnih ograničenja i uspostavu neovlaštene VPN veze. Tvrtka je ranije navela da se propust mogao koristiti za uspostavu neovlaštenih VPN veza na uređaju, a Medium ocjena rizika bila je dodijeljena zato što su pogođeni uređaji morali biti konfigurirani s uključenim authentication override cookies i određenom konfiguracijom certifikata.
Rapid7 je ranije upozorio da je propust od 17. svibnja vidio u napadima na više korisnika. Tvrtka navodi da je njezin MDR utvrdio uspješnu eksploataciju kod brojnih korisnika, iako nije uočila znakove uspješnog lateralnog kretanja s uređaja. Najraniji zabilježeni datum eksploatacije bio je 17. svibnja 2026., a 29. svibnja 2026. ranjivost je dodana u CISA-in katalog KEV. Rapid7 navodi i da su napadi započinjali prijavom na GlobalProtect gatewaye pomoću krivotvorenih authentication override cookies usmjerenih na lokalni administratorski račun.
Rapid7 je prve pokušaje eksploatacije uočio 18. svibnja s infrastrukture hostane kod Vultra, a drugi val napada 21. svibnja s adrese povezanih s Dromatics Systems. U nekim slučajevima napadači su se, prema Rapid7, mogli povezati s uređajem putem VPN-a koristeći krivotvorene kolačiće, čime su dobivali pristup unutarnjim mrežama. U drugim incidentima uređaj je prihvatio krivotvoreni kolačić, ali nije bilo moguće uspostaviti punu VPN sesiju.
Istraživanje pogođenih korisnika pokazalo je da su kompromitirani uređaji imali uključene authentication override cookies i bili konfigurirani tako da su napadačima omogućavali izradu valjanih autentifikacijskih kolačića. Rapid7 navodi da propust proizlazi iz PAN-OS-ove provjere tih kolačića: GlobalProtect VPN uređaj ih dekriptira pomoću konfiguriranog privatnog ključa i zatim vjeruje sadržaju bez provjere potpisa. Ako se isti certifikat koristi i za HTTPS servise i za authentication override cookies, napadači mogu dohvatiti odgovarajući javni ključ preko HTTPS sesije i potom izraditi krivotvorene kolačiće koje će uređaj prihvatiti kao legitimne.
Rapid7 je izradio proof-of-concept eksploataciju koja pokazuje kako napadač može dohvatiti javne certifikate izloženih kroz GlobalProtect portal ili gateway, generirati krivotvoreni authentication override cookie za proizvoljnog korisnika i prijaviti se bez valjanih vjerodajnica. Organizacije koje koriste GlobalProtect VPN uređaje trebale bi odmah instalirati najnovija sigurnosna ažuriranja. Administratori mogu ublažiti rizik i gašenjem značajke authentication override ili uporabom drugog certifikata za tu funkciju, koji se ne dijeli s drugim servisima na uređaju. CISA je sada dodala propust u svoj katalog Known Exploited Vulnerabilities i naložila federalnim agencijama da ga ublaže do 1. lipnja 2026.
Vezane vijesti
