CVE-2026-0257 w Palo Alto GlobalProtect: aktywnie wykorzystywane obejście uwierzytelniania VPN - Security Bez Tabu

CVE-2026-0257 w Palo Alto GlobalProtect: aktywnie wykorzystywane obejście uwierzytelniania VPN

Cybersecurity news

Wprowadzenie do problemu / definicja

CVE-2026-0257 to podatność typu authentication bypass dotycząca komponentów GlobalProtect Portal oraz Gateway w systemie PAN-OS. Błąd pozwala na obejście procesu uwierzytelniania i zestawienie nieautoryzowanego połączenia VPN bez znajomości prawidłowych danych logowania, jeśli środowisko spełnia określone warunki konfiguracyjne.

Z perspektywy bezpieczeństwa problem jest szczególnie istotny dla organizacji udostępniających zdalny dostęp przez urządzenia brzegowe wystawione do Internetu. W takim scenariuszu luka może stać się bezpośrednim punktem wejścia do sieci firmowej.

W skrócie

Podatność została ujawniona 13 maja 2026 r., a producent potwierdził jej aktywne wykorzystywanie w rzeczywistych atakach. Mechanizm nadużycia opiera się na fałszowaniu ciasteczek uwierzytelniających GlobalProtect w środowiskach, gdzie włączono funkcję authentication override i zastosowano niebezpieczną konfigurację certyfikatów.

  • atak umożliwia obejście logowania do VPN bez przejęcia hasła,
  • warunkiem ekspozycji jest określona konfiguracja GlobalProtect,
  • producent udostępnił poprawki i zalecane obejścia,
  • ryzyko dotyczy przede wszystkim publicznie dostępnych bram zdalnego dostępu.

Kontekst / historia

Palo Alto Networks sklasyfikowało CVE-2026-0257 jako podatność wysokiego ryzyka i oznaczyło ją statusem wskazującym na potwierdzone ataki. Poprawki zostały opublikowane 13 maja 2026 r., a późniejsza aktualizacja komunikatu bezpieczeństwa nastąpiła 29 maja 2026 r.

Według dostępnych informacji aktywność związana z eksploatacją była obserwowana co najmniej od 17 maja 2026 r. W analizowanych incydentach wskazywano na podobne artefakty operacyjne, w tym użycie sfałszowanych cookies, logowanie z wykorzystaniem lokalnych kont administracyjnych oraz powtarzalne cechy po stronie klienta, co może sugerować działanie jednego aktora lub wykorzystanie zbliżonego zestawu narzędzi.

Analiza techniczna

Istota podatności sprowadza się do zaufania do odszyfrowanej zawartości ciasteczka bez odpowiedniej weryfikacji integralności. Jeśli ten sam certyfikat jest wykorzystywany zarówno do usługi HTTPS, jak i do ochrony authentication override cookies, napastnik może przygotować podrobione cookie akceptowane przez urządzenie.

Nie każda instancja GlobalProtect jest więc automatycznie podatna. Zagrożone są przede wszystkim środowiska, w których jednocześnie występują określone warunki konfiguracyjne.

  • uruchomiony jest GlobalProtect Portal lub Gateway,
  • włączono generowanie albo akceptowanie authentication override cookies,
  • ten sam certyfikat lub nieprawidłowo dobrana konfiguracja certyfikatów obsługuje także usługę HTTPS,
  • nie wdrożono jeszcze poprawek lub działań ograniczających ryzyko.

Producent wskazał, że problem nie dotyczy platform Panorama ani Cloud NGFW. Dla obsługiwanych linii PAN-OS oraz wybranych wdrożeń Prisma Access opublikowano wersje naprawione. Po wdrożeniu aktualizacji użytkownicy mogą zostać poproszeni o ponowne uwierzytelnienie, ponieważ mechanizm obsługi cookies został przebudowany w bezpieczniejszy sposób.

Operacyjnie jest to szczególnie groźny scenariusz, ponieważ skuteczny atak może doprowadzić do przydzielenia adresu VPN i wpuszczenia nieautoryzowanego użytkownika do sieci wewnętrznej. To oznacza ryzyko dalszych działań po stronie atakującego już po przejściu przez brzeg infrastruktury.

Konsekwencje / ryzyko

Najpoważniejszym skutkiem CVE-2026-0257 jest możliwość uzyskania nieautoryzowanego dostępu do zasobów organizacji przez publicznie dostępny punkt zdalnego dostępu. W praktyce może to skrócić ścieżkę ataku i pozwolić ominąć klasyczny proces logowania, nawet jeśli dane uwierzytelniające nie zostały wcześniej skradzione.

Po uzyskaniu sesji VPN napastnik może przeprowadzić rekonesans środowiska, próbować ruchu bocznego, zbierać kolejne poświadczenia lub przygotować dalsze etapy intruzji. Ryzyko jest największe w organizacjach, które intensywnie korzystają z GlobalProtect jako głównej platformy zdalnego dostępu.

  • najbardziej narażone są środowiska z aktywną funkcją authentication override,
  • dodatkowe zagrożenie wynika ze współdzielenia certyfikatów z usługą HTTPS,
  • opóźnienia w aktualizacji urządzeń brzegowych zwiększają okno ekspozycji,
  • brak monitorowania logów może utrudnić wykrycie nadużycia.

Nawet jeśli atak nie zawsze kończy się pełnym zestawieniem tunelu VPN, sama akceptacja sfałszowanego cookie stanowi poważne naruszenie modelu zaufania. Oznacza to, że mechanizm kontroli dostępu może zostać ominięty bez użycia prawidłowego hasła.

Rekomendacje

Priorytetem powinno być szybkie ustalenie, czy środowisko spełnia warunki podatności. Organizacje powinny nie tylko wdrożyć poprawki, ale również sprawdzić konfigurację GlobalProtect, w szczególności ustawienia authentication override oraz sposób wykorzystania certyfikatów.

  • zaktualizować PAN-OS do wersji naprawionych wskazanych przez producenta,
  • wyłączyć authentication override, jeśli funkcja nie jest niezbędna,
  • wdrożyć dedykowany certyfikat wyłącznie do authentication override cookies,
  • nie współdzielić certyfikatu cookies z usługą HTTPS ani innymi funkcjami,
  • przeanalizować logi pod kątem nietypowych logowań opartych na cookies,
  • sprawdzić użycie lokalnych kont administracyjnych, anomalii adresów MAC i nietypowych nazw hostów,
  • zweryfikować, czy dochodziło do przydziału adresów VPN po podejrzanym uwierzytelnieniu,
  • przeprowadzić hunting w sieci wewnętrznej pod kątem dalszej aktywności,
  • wymusić ponowne uwierzytelnienie użytkowników po aktualizacji,
  • wzmocnić reguły detekcji i alertowania w systemach SIEM oraz XDR.

W środowiskach o wysokim profilu ryzyka warto potraktować tę lukę nie tylko jako problem patch management, ale jako potencjalny incydent bezpieczeństwa. Dotyczy to zwłaszcza organizacji, których urządzenia były dostępne z Internetu w okresie od połowy maja 2026 r. do czasu wdrożenia mitygacji.

Podsumowanie

CVE-2026-0257 to poważna podatność w Palo Alto GlobalProtect, ponieważ umożliwia obejście uwierzytelniania na publicznie dostępnym urządzeniu VPN. Jej praktyczne znaczenie zwiększa fakt potwierdzonej aktywnej eksploatacji oraz możliwość wejścia do sieci wewnętrznej bez przejęcia haseł.

Najważniejsze działania obronne obejmują natychmiastową aktualizację systemów, zmianę konfiguracji certyfikatów, ograniczenie lub wyłączenie authentication override oraz dokładną analizę logów. Dla wielu organizacji będzie to jeden z tych przypadków, w których właściwa reakcja musi łączyć szybkie usunięcie podatności z aktywnym poszukiwaniem oznak naruszenia.

Źródła

  1. Palo Alto Networks Security Advisory: CVE-2026-0257 PAN-OS: GlobalProtect Authentication Bypass Vulnerabilities — https://security.paloaltonetworks.com/CVE-2026-0257
  2. Security Affairs: CVE-2026-0257: Rapid7 Caught Attackers Abusing Forged VPN Cookies Against Multiple Customers — https://securityaffairs.com/192933/security/cve-2026-0257-rapid7-caught-attackers-abusing-forged-vpn-cookies-against-multiple-customers.html
  3. CVE Record: CVE-2026-0257 — https://www.cve.org/CVERecord?id=CVE-2026-0257
  4. CWE-565: Reliance on Cookies without Validation and Integrity Checking — https://cwe.mitre.org/data/definitions/565.html