GlobalProtect VPN kihasználás
A Palo Alto Networks Unit 42 megerősítette, hogy a CVE-2026-0257 azonosítójú sérülékenységet aktívan kihasználják internet felől elérhető GlobalProtect VPN rendszerek ellen. A hiba a PAN-OS GlobalProtect Portal és Gateway komponenseit érinti, és lehetővé teszi egy hitelesítés-megkerülési (authentication bypass) támadás végrehajtását, amelynek során a támadó érvényes felhasználói hitelesítő adatok nélkül képes VPN-kapcsolatot létrehozni.
A sérülékenység csak meghatározott konfigurációk esetén használható ki. Az érintett rendszereken engedélyezve van az úgynevezett Authentication Override Cookie funkció, és bizonyos tanúsítvány-konfigurációk mellett a támadó képes manipulálni vagy hamisítani az autentikációs sütiket. Ennek eredményeként a GlobalProtect a felhasználót sikeresen hitelesítettnek tekintheti anélkül, hogy tényleges bejelentkezés történt volna.
A Unit 42 és a Rapid7 megfigyelései szerint a kihasználási kísérletek legalább 2026. május 17. óta zajlanak. Több szervezetnél sikeres VPN-hozzáférést is észleltek, bár a vizsgált esetekben egyelőre nem figyeltek meg széles körű oldalirányú mozgást vagy további kompromittálást. A sérülékenység súlyosságát jelentősen növeli, hogy közvetlenül az internet felől érhető el, és a támadáshoz nincs szükség sem felhasználói interakcióra, sem előzetes hozzáférésre.
A Palo Alto Networks május végén frissítette biztonsági figyelmeztetését, és hivatalosan is elismerte a valós támadások során történő kihasználást. A sérülékenység ezt követően bekerült a CISA Known Exploited Vulnerabilities (KEV)katalógusába is, ami azt jelzi, hogy az amerikai kormányzat aktívan kihasznált fenyegetésként kezeli.
Az érintett verziók közé tartoznak a PAN-OS 10.2, 11.1, 11.2 és 12.1 ágai, valamint egyes Prisma Access környezetek. A Palo Alto javításokat adott ki minden támogatott verzióhoz. Amennyiben az azonnali frissítés nem lehetséges, a gyártó átmeneti védekezésként az Authentication Override funkció kikapcsolását vagy külön dedikált tanúsítvány használatát javasolja.