Palo Alto GlobalProtect VPN kihasználása
A Palo Alto Networks megerősítette, hogy a CVE-2026-0257 azonosítójú hitelesítésmegkerülési sérülékenységet már aktívan kihasználják interneten elérhető GlobalProtect VPN rendszerek ellen. A hiba lehetővé teszi, hogy támadók jogosulatlan VPN-kapcsolatot hozzanak létre, és így hozzáférést szerezzenek vállalati hálózatokhoz hitelesítés nélkül.
A sérülékenység a PAN-OS GlobalProtect portál- és gateway-komponenseit érinti. A probléma olyan környezetekben jelentkezik, ahol engedélyezett az úgynevezett authentication override cookie funkció, és bizonyos tanúsítvány-konfigurációk is jelen vannak. A hiba lényege, hogy a rendszer nem megfelelően ellenőrzi a hitelesítési cookie-k integritását, így a támadó megkerülheti a hozzáférés-ellenőrzést.
A Rapid7 több ügyfélnél is sikeres kihasználást figyelt meg. Az első ismert támadások május 17-én jelentek meg, majd újabb hullám indult május 21-én. A kutatók szerint ugyanaz a fenyegető szereplő állhat a műveletek mögött. A naplófájlokban gyanús cookie-alapú VPN-hitelesítések jelentek meg, több esetben adminisztrátori vagy helyi fiókok nevében. A támadások egy része Vultr infrastruktúráról érkezett.
A Palo Alto eredetileg közepes súlyosságúként sorolta be a hibát (CVSS 7.8), azonban a Rapid7 szerint ezt a gyakorlatban kritikus kockázatként kell kezelni, mivel egy internet felől elérhető VPN-rendszer kompromittálása közvetlen belépési pontot jelenthet a belső hálózatba. Több incidens során a támadók már sikeresen VPN-címet kaptak és hozzáférést szereztek a belső környezethez.
A sérülékenységet a CISA felvette az ismerten kihasznált sérülékenységek (KEV) listájára, és az amerikai szövetségi szervezetek számára sürgős javítást írt elő.
Az érintett szervezetek számára a Palo Alto Networks az azonnali frissítést javasolja. Átmeneti védekezésként ajánlott az authentication override funkció kikapcsolása, illetve dedikált új tanúsítvány használata ehhez a szolgáltatáshoz. Különösen fontos a GlobalProtect hitelesítési naplók ellenőrzése, a szokatlan cookie-alapú VPN-bejelentkezések vizsgálata, valamint az internet felől elérhető VPN-infrastruktúrák fokozott monitorozása.
