CVE-2026-0257 w PAN-OS: krytyczna luka GlobalProtect trafiła do katalogu KEV - Security Bez Tabu

CVE-2026-0257 w PAN-OS: krytyczna luka GlobalProtect trafiła do katalogu KEV

Cybersecurity news

Wprowadzenie do problemu / definicja

CVE-2026-0257 to krytyczna podatność typu authentication bypass w systemie PAN-OS, wykorzystywanym przez zapory sieciowe Palo Alto Networks. Luka dotyczy komponentów GlobalProtect Portal i Gateway oraz może umożliwić zestawienie nieautoryzowanego połączenia VPN z pominięciem standardowego procesu uwierzytelniania.

Problem ma szczególne znaczenie dla organizacji korzystających z urządzeń brzegowych wystawionych do Internetu. W praktyce chodzi o infrastrukturę, która bardzo często stanowi pierwszą linię obrony i jednocześnie bramę do zasobów wewnętrznych dla pracowników zdalnych.

W skrócie

CISA dodała CVE-2026-0257 do katalogu Known Exploited Vulnerabilities po doniesieniach o aktywnych próbach wykorzystania luki. Oznacza to, że podatność nie jest wyłącznie teoretycznym problemem, ale zagrożeniem o potwierdzonej wartości operacyjnej dla atakujących.

  • Podatność dotyczy PAN-OS i funkcji GlobalProtect.
  • Warunkiem podatności jest określona konfiguracja Authentication Override oparta o cookies.
  • Atak nie wymaga interakcji użytkownika.
  • Skutkiem może być nieautoryzowany dostęp do sieci przez VPN.
  • Luka została już powiązana z próbami eksploatacji w środowiskach produkcyjnych.

Kontekst / historia

Podatność została publicznie opisana 13 maja 2026 r. Następnie 29 maja 2026 r. Palo Alto Networks zaktualizowało komunikat bezpieczeństwa, informując o ograniczonych próbach wykorzystania niezałatanych systemów bez wdrożonych mitygacji. Szerszy rozgłos sprawa zyskała 1 czerwca 2026 r., kiedy luka trafiła do katalogu KEV prowadzonego przez CISA.

To kolejny przykład rosnącej presji na urządzenia perymetryczne, w szczególności zapory sieciowe i koncentratory VPN. Dla operatorów kampanii intruzyjnych przejęcie takiego systemu oznacza potencjalny dostęp do ruchu zdalnego, uprzywilejowanych segmentów sieci oraz danych związanych z uwierzytelnianiem użytkowników.

Analiza techniczna

Z technicznego punktu widzenia CVE-2026-0257 dotyczy obejścia mechanizmów bezpieczeństwa w GlobalProtect Portal oraz Gateway. Problem pojawia się w określonych warunkach konfiguracyjnych, gdy używany jest mechanizm Authentication Override oparty o cookies oraz występuje specyficzna konfiguracja certyfikatów.

Według informacji producenta słabość wiąże się z niewłaściwym poleganiem na cookies bez odpowiedniej walidacji integralności. W efekcie atakujący może ominąć standardowy proces logowania i zestawić nieautoryzowaną sesję VPN, co znacząco obniża próg wejścia do dalszych działań wewnątrz środowiska ofiary.

Charakterystyka luki jest szczególnie niepokojąca, ponieważ wektor ataku jest sieciowy, poziom złożoności niski, a wykorzystanie nie wymaga wcześniejszych uprawnień ani interakcji użytkownika. Taki profil techniczny sprawia, że podatność dobrze wpisuje się w scenariusze masowego skanowania Internetu i szybkiej eksploatacji podatnych urządzeń.

Zakres problemu nie obejmuje Panorama ani Cloud NGFW. Dotknięte są natomiast wybrane wersje PAN-OS z linii 10.2, 11.1, 11.2 oraz 12.1, jeśli pozostają poniżej wersji naprawczych wskazanych przez producenta. Palo Alto Networks udostępniło zarówno poprawki, jak i obejścia tymczasowe ograniczające ryzyko.

Istotnym elementem zaleceń jest użycie dedykowanego certyfikatu wyłącznie dla Authentication Override cookies albo całkowite wyłączenie tej funkcji. Producent wskazał także na operacyjny efekt aktualizacji: po wdrożeniu poprawek cookies będą regenerowane w bezpieczniejszy sposób, dlatego użytkownicy GlobalProtect będą musieli ponownie przejść proces uwierzytelnienia.

Konsekwencje / ryzyko

Ryzyko związane z CVE-2026-0257 należy ocenić jako bardzo wysokie. Luka dotyczy systemów brzegowych obsługujących zdalny dostęp, a więc zasobów o krytycznym znaczeniu dla ciągłości działania i bezpieczeństwa organizacji.

Najpoważniejszym skutkiem jest możliwość uzyskania nieautoryzowanego połączenia VPN. Taki dostęp może następnie posłużyć do poruszania się po sieci wewnętrznej, rekonesansu, prób eskalacji uprawnień, obchodzenia części mechanizmów ochronnych oraz ukrywania aktywności w ruchu wyglądającym na legalny ruch zaufanego użytkownika.

Dla podmiotów regulowanych, operatorów infrastruktury krytycznej oraz organizacji objętych rygorystycznymi wymaganiami zgodności dodanie luki do KEV oznacza również wymiar formalny. Brak szybkiej reakcji może zwiększyć ryzyko incydentu, problemów audytowych i naruszenia obowiązków w zakresie zarządzania podatnościami.

Rekomendacje

Priorytetem powinno być natychmiastowe ustalenie, czy organizacja korzysta z podatnych wersji PAN-OS oraz czy na urządzeniach aktywna jest konfiguracja GlobalProtect Portal lub Gateway z włączonym Authentication Override. Jeżeli tak, konieczne jest pilne wdrożenie poprawek producenta.

  • wyłączyć Authentication Override tam, gdzie jest to możliwe operacyjnie,
  • zastosować dedykowany certyfikat wyłącznie dla cookies Authentication Override,
  • przeanalizować logi GlobalProtect i firewalla pod kątem nietypowych połączeń VPN oraz anomalii uwierzytelniania od połowy maja 2026 r.,
  • sprawdzić, czy na urządzeniach nie pojawiły się podejrzane sesje, nowe profile, nieautoryzowane zmiany konfiguracji lub oznaki dostępu administracyjnego,
  • przygotować organizację na konieczność ponownego uwierzytelnienia użytkowników po aktualizacji,
  • zwiększyć monitoring ruchu pochodzącego z tuneli VPN zestawionych przez GlobalProtect,
  • traktować niezałatane urządzenia internet-facing jako potencjalnie narażone do czasu pełnej weryfikacji.

Z perspektywy SOC i zespołów reagowania na incydenty warto rozważyć pełne dochodzenie powłamaniowe, jeśli istnieją przesłanki wskazujące na możliwe wykorzystanie luki. Analiza powinna objąć logi dostępowe, aktywność kont, ruch wewnętrzny oraz integralność konfiguracji urządzeń sieciowych.

Podsumowanie

CVE-2026-0257 to jedna z najpoważniejszych podatności ujawnionych ostatnio w ekosystemie PAN-OS, ponieważ dotyczy obejścia uwierzytelniania w GlobalProtect i uderza bezpośrednio w obszar zdalnego dostępu. Potwierdzone próby eksploatacji oraz wpis do katalogu KEV znacząco podnoszą priorytet działań po stronie administratorów i zespołów bezpieczeństwa.

Organizacje korzystające z rozwiązań Palo Alto Networks powinny potraktować aktualizację, przegląd konfiguracji Authentication Override oraz analizę logów jako działania pilne. W tym przypadku odkładanie reakcji zwiększa ryzyko nieautoryzowanego dostępu do środowiska przez zaufany kanał VPN.

Źródła

  1. CISA adds critical Palo Alto Networks firewall flaw to KEV as company, researchers warn of exploitation — https://www.cybersecuritydive.com/news/palo-alto-networks-firewall-flaw-exploitation-cisa-kev/821598/
  2. CVE-2026-0257 PAN-OS: GlobalProtect Authentication Bypass Vulnerabilities — https://security.paloaltonetworks.com/CVE-2026-0257
  3. CVE-2026-0257 — CVE Program — https://www.cve.org/CVERecord?id=CVE-2026-0257
  4. Known Exploited Vulnerabilities Catalog — https://www.cisa.gov/known-exploited-vulnerabilities-catalog
  5. Rapid7 analysis of CVE-2026-0257 exploitation — https://www.rapid7.com/blog/post/2026/05/30/etr-cve-2026-0257-palo-alto-networks-pan-os-authentication-bypass-vulnerability-exploited-in-the-wild/