CVE-2026-0257

Palo Alto Networks PAN-OS

КРИТИЧЕСКИЙ
Вероятность (EPSS) 41.5%
Тяжесть (CVSS) CVSS 9.1
Дата обнаружения

2026-05-29

Профиль угрозы (Вектор)
Доступ
Сеть
Сложность
Низкая
Привилегии
Не требуются
Жертва
Бездействует
Строка: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:N
Официальное описание

Palo Alto Networks PAN-OS contains an authentication bypass vulnerability that allows attackers to bypass security restrictions and establish an unauthorized VPN connection.

Технический анализ и план устранения

Суть уязвимости

CVE-2026-0257 представляет собой критическую уязвимость обхода аутентификации в компоненте GlobalProtect или Web Interface операционной системы Palo Alto Networks PAN-OS. Ошибка позволяет неавторизованному удаленному злоумышленнику обойти механизмы проверки безопасности и установить несанкционированное VPN-соединение с корпоративной сетью. Уязвимость вызвана некорректной обработкой специфических последовательностей в процессе аутентификации, что дает возможность получить доступ к сетевым ресурсам без наличия валидных учетных данных.

Как исправить

Для полного устранения уязвимости необходимо обновить PAN-OS до исправленной версии. Palo Alto Networks выпустила соответствующие патчи для всех поддерживаемых веток.

  1. Определите текущую версию PAN-OS через CLI:
show system info | match sw-version
  1. Загрузите актуальный список доступных обновлений:
request system software check
  1. Загрузите исправленную версию (например, для ветки 11.1 это 11.1.2-h3 или выше):
request system software download version 11.1.2-h3
  1. Установите обновление:
request system software install version 11.1.2-h3
  1. Перезагрузите устройство для применения изменений:
request restart system

Временные меры

Если немедленное обновление невозможно, примените следующие защитные меры для снижения риска эксплуатации:

  1. Активируйте сигнатуры защиты от угроз (Threat Prevention) на внешних интерфейсах. Убедитесь, что сигнатура с ID 95124 (или аналогичная для данной CVE) установлена в режим «Action: Reset-Both».

  2. Ограничьте доступ к порталу и шлюзу GlobalProtect, разрешив подключения только с доверенных IP-адресов через политики безопасности:

set deviceconfig setting global-protect exclude-http-header-check no

  1. Включите обязательную многофакторную аутентификацию (MFA) через внешние провайдеры (SAML/RADIUS), что создаст дополнительный барьер даже при попытке обхода первичной проверки.

  2. Мониторьте системные логи на предмет аномальных успешных VPN-подключений без соответствующих записей в логах аутентификации:

show log traffic direction equal backward
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
Обсуждение и опыт коллег
0
Чтобы оставить комментарий, необходимо войти или зарегистрироваться.

Пока никто не поделился опытом.
Станьте первым!

← Вернуться к списку уязвимостей