CVE-2026-0257 w PAN-OS: aktywnie wykorzystywane obejście uwierzytelniania w GlobalProtect

Wprowadzenie do problemu / definicja

CVE-2026-0257 to podatność typu authentication bypass dotycząca komponentów GlobalProtect Portal oraz Gateway w systemie PAN-OS. Błąd umożliwia obejście mechanizmów bezpieczeństwa i zestawienie nieautoryzowanego połączenia VPN w określonych scenariuszach konfiguracyjnych. Ponieważ problem dotyczy infrastruktury brzegowej wystawionej na kontakt z internetem, jego znaczenie operacyjne jest szczególnie wysokie.

W praktyce oznacza to, że organizacje korzystające z GlobalProtect mogą zostać narażone na uzyskanie dostępu do sieci wewnętrznej przez podmiot, który nie przeszedł poprawnego procesu uwierzytelnienia. Tego rodzaju luki są szczególnie niebezpieczne, ponieważ dotyczą warstwy zdalnego dostępu, często stanowiącej pierwszy punkt styku użytkownika i atakującego z infrastrukturą przedsiębiorstwa.

W skrócie

Producent potwierdził, że luka CVE-2026-0257 jest aktywnie wykorzystywana przeciwko niezałatanym urządzeniom. Podatność otrzymała ocenę CVSS 7.8 i dotyczy wybranych wersji PAN-OS oraz Prisma Access.

• Dotyczy komponentów GlobalProtect Portal i Gateway.
• Warunkiem ekspozycji jest użycie authentication override cookies oraz określonej konfiguracji certyfikatów.
• Skutkiem może być nieautoryzowane zestawienie połączenia VPN.
• Producent opublikował poprawki i zalecenia ograniczające ryzyko.
• Organizacje powinny potraktować problem priorytetowo ze względu na potwierdzoną aktywną eksploatację.

Kontekst / historia

Podatność została publicznie opisana 13 maja 2026 r., natomiast 29 maja 2026 r. komunikat producenta został zaktualizowany o informację, że luka jest wykorzystywana w ograniczonych atakach na środowiska produkcyjne. Dane telemetryczne wskazują, że pierwsze skuteczne próby eksploatacji mogły rozpocząć się już 17 maja 2026 r., a kolejna fala aktywności była obserwowana 21 maja 2026 r.

Incydent ten wpisuje się w utrzymujący się trend ataków na urządzenia edge, takie jak koncentratory VPN, zapory sieciowe i bramy dostępu zdalnego. Dla napastników są to cele szczególnie atrakcyjne, ponieważ umożliwiają wejście do organizacji bez konieczności kompromitowania stacji roboczych użytkowników końcowych. W wielu przypadkach przejęcie dostępu do warstwy zdalnego dostępu otwiera drogę do dalszego ruchu bocznego, rozpoznania sieci i eskalacji działań.

Analiza techniczna

Technicznie problem dotyczy sposobu obsługi cookies wykorzystywanych przez funkcję authentication override w GlobalProtect. Klasyfikacja powiązana z CWE-565 wskazuje na poleganie na plikach cookie bez odpowiedniej walidacji i kontroli integralności. Taki model może umożliwić obejście standardowych mechanizmów logowania i ustanowienie sesji VPN bez prawidłowego uwierzytelnienia użytkownika.

Nie wszystkie wdrożenia PAN-OS są jednakowo narażone. Ekspozycja występuje wtedy, gdy spełnione są konkretne warunki konfiguracyjne związane z GlobalProtect i obsługą authentication override cookies. Istotne znaczenie ma również sposób wykorzystania certyfikatów w danym środowisku.

• Skonfigurowany GlobalProtect Portal lub Gateway.
• Włączona opcja generowania lub akceptowania authentication override cookies.
• Obecność określonej konfiguracji certyfikatów.

Jeżeli te warunki są spełnione, atakujący może doprowadzić do ustanowienia nieautoryzowanej sesji VPN. Oznacza to możliwość uzyskania dostępu do zasobów sieciowych z pominięciem prawidłowego procesu logowania. Producent wskazał, że po wdrożeniu poprawek mechanizm cookies jest regenerowany w bezpieczniejszy sposób, co powoduje konieczność jednokrotnego ponownego uwierzytelnienia użytkowników po aktualizacji.

Warto też podkreślić zakres wpływu. Zgodnie z opublikowanymi informacjami problem nie dotyczy Panorama ani Cloud NGFW. Zagrożenie obejmuje natomiast określone wersje gałęzi PAN-OS 10.2, 11.1, 11.2 i 12.1 oraz wybrane wersje Prisma Access, dla których udostępniono poprawki bezpieczeństwa.

Konsekwencje / ryzyko

Najpoważniejszą konsekwencją CVE-2026-0257 jest możliwość uzyskania nieautoryzowanego dostępu zdalnego do sieci organizacji. Ze względu na charakter bramy VPN skutki mogą wykraczać daleko poza pojedynczy komponent i prowadzić do naruszenia większej części środowiska.

• Dostęp do sieci wewnętrznej z pominięciem standardowej ścieżki logowania.
• Obchodzenie polityk dostępu i mechanizmów kontroli tożsamości.
• Zwiększenie możliwości ruchu bocznego wewnątrz infrastruktury.
• Przygotowanie gruntu pod kradzież danych, dalszą eskalację lub działania sabotażowe.

Choć formalna ocena CVSS nie klasyfikuje tej luki w absolutnie najwyższej kategorii, jej wpływ biznesowy i operacyjny może być bardzo wysoki. Sesja VPN daje bowiem napastnikowi pozycję zbliżoną do prawidłowo uwierzytelnionego użytkownika, co w praktyce może znacząco utrudnić szybkie wykrycie nadużycia i zwiększyć skalę potencjalnych szkód.

Dodatkowym czynnikiem podnoszącym ryzyko jest aktywna eksploatacja w rzeczywistych środowiskach. W takiej sytuacji zwlekanie z wdrożeniem poprawek lub ograniczanie się wyłącznie do monitoringu znacząco zwiększa prawdopodobieństwo skutecznego naruszenia bezpieczeństwa.

Rekomendacje

Organizacje korzystające z GlobalProtect powinny potraktować tę podatność jako incydent o wysokim priorytecie i podjąć działania zarówno naprawcze, jak i detekcyjne. Kluczowe jest szybkie ustalenie, czy środowisko spełnia warunki ekspozycji.

• Zweryfikować, czy na firewallach działa GlobalProtect Portal lub Gateway.
• Sprawdzić, czy aktywne są opcje związane z authentication override cookies.
• Ustalić wersje PAN-OS lub Prisma Access obecne w środowisku.
• Niezwłocznie wdrożyć wersje naprawcze wskazane przez producenta.
• Przygotować użytkowników na konieczność ponownego uwierzytelnienia po aktualizacji.

Jeżeli pełna aktualizacja nie może zostać wykonana natychmiast, należy wdrożyć działania tymczasowo ograniczające ryzyko. Producent rekomenduje wyłączenie funkcji Authentication Override, jeśli nie jest niezbędna operacyjnie, lub użycie nowego, dedykowanego certyfikatu wyłącznie do obsługi authentication override cookies. Nie należy współdzielić tego samego certyfikatu z portalem, gatewayem ani innymi funkcjami.

Równolegle zespoły bezpieczeństwa powinny przeprowadzić analizę logów i aktywności sesji VPN. Warto szukać nietypowych zestawień połączeń, anomalii geolokalizacyjnych, niestandardowych godzin logowania oraz przypadków, w których przydzielono adres VPN bez jednoznacznego potwierdzenia procesu logowania. Każda podejrzana sesja powinna zostać powiązana z próbami dostępu do systemów wewnętrznych.

Długofalowo warto również wzmocnić architekturę dostępu zdalnego. Obejmuje to ograniczenie zakresu sieci dostępnej przez VPN, segmentację zasobów, dodatkowe kontrole po stronie aplikacji i systemów wewnętrznych oraz korelację logów z rozwiązaniami SIEM i EDR. Nawet jeśli atakujący uzyska sesję zdalną, dobrze zaprojektowana architektura powinna ograniczyć jego możliwości dalszego działania.

Podsumowanie

CVE-2026-0257 pokazuje, jak poważne skutki mogą mieć błędy w mechanizmach uwierzytelniania na urządzeniach brzegowych. W tym przypadku problem dotyczy GlobalProtect i obsługi authentication override cookies, a jego praktyczny rezultat to możliwość zestawienia nieautoryzowanego połączenia VPN do sieci organizacji.

Potwierdzona aktywna eksploatacja sprawia, że nie jest to wyłącznie teoretyczna luka, lecz realne zagrożenie wymagające natychmiastowej reakcji. Dla zespołów bezpieczeństwa priorytetem powinno być szybkie określenie ekspozycji, wdrożenie poprawek lub mitigacji, a następnie analiza logów pod kątem oznak naruszenia.

Źródła

1. PAN-OS GlobalProtect Authentication Bypass (CVE-2026-0257) Under Active Exploitation — https://thehackernews.com/2026/05/pan-os-globalprotect-authentication.html
2. CVE-2026-0257 PAN-OS: GlobalProtect Authentication Bypass Vulnerabilities — https://security.paloaltonetworks.com/CVE-2026-0257
3. CVE Record for CVE-2026-0257 — https://www.cve.org/CVERecord?id=CVE-2026-0257
4. CWE-565: Reliance on Cookies without Validation and Integrity Checking — https://cwe.mitre.org/data/definitions/565.html