Zraniteľnosť Palo Alto Networks PAN-OS umožňuje obísť prihlasovanie

Spoločnosť Palo Alto Networks opravila aktívne zneužívanú zraniteľnosť v riešení GlobalProtect v PAN-OS a Prisma Access, ktorá umožňuje neautentifikovaným vzdialeným útočníkom podvrhovať súbory cookies pre prihlásenie prostredníctvom funkcie „Authentication Override“ a vytvárať tak neautorizované spojenia VPN.

Zraniteľné systémy:

• Palo Alto Networks PAN-OS verzie 12.1 staršie ako 12.1.4-h6 a 12.1.7
• Palo Alto Networks PAN-OS verzie 11.2 staršie ako 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 a 11.2.12
• Palo Alto Networks PAN-OS verzie 11.1 staršie ako 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 a 11.1.15
• Palo Alto Networks PAN-OS verzie 10.2 staršie ako 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 a 10.2.18-h6
• Palo Alto Networks Prisma Access verzie 11.2.0 staršie ako 11.2.7-h13
• Palo Alto Networks Prisma Access verzie 10.2.0 staršie ako 10.2.10-h36

Pozn.: Zraniteľnosť Vášho zariadenia môžete overiť na stránke výrobcu v časti Required Configuration for Exposure.

Opis činnosti:

CVE-2026-0257 (CVSS v4 skóre 7,8)

Spoločnosť Palo Alto Networks potvrdila aktívne zneužívanie zraniteľnosti CVE-2026-0257 v PAN-OS, vo VPN riešení GlobalProtect, ktorá umožňuje obísť autentifikáciu a vytvoriť neoprávnené VPN spojenie bez platných prihlasovacích údajov. Vzdialený útočník ju môže zneužiť podvrhnutím súboru cookie funkcie „Authentication Override“, na čo potrebuje poznať iba verejný kľúč certifikátu, ktorý daná funkcia používa. Obsah takéhoto cookie aplikácia implicitne pokladá za dôveryhodný.

Chyba sa týka zariadení s PAN-OS a Prisma Access, kde je nakonfigurované riešenie GlobalProtect, povolené cookies „Authentication Override“ a špecifická konfigurácia certifikátov.

Spoločnosti Rapid7 a Palo Alto zaznamenali reálne útoky už v polovici mája 2026 a zraniteľnosť bola zaradená do zoznamu aktívne zneužívaných zraniteľností (KEV) organizácie CISA.

Možné škody:

• Obídenie bezpečnostných prvkov

Odporúčania:

Bezodkladná aktualizácia Palo Alto Networks PAN-OS aspoň na verziu:

• 12.1.4-h6 alebo 12.1.7
• 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 alebo 11.2.12
• 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 alebo 11.1.15
• 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 alebo 10.2.18-h6

Bezodkladná aktualizácia Palo Alto Networks Prisma Access aspoň na verziu:

• 11.2.7-h13
• 10.2.10-h36

Pre mitigáciu zraniteľnosti môžete vystaviť a používať dedikovaný certifikát pre „Authentication Override“ cookies, alebo zakázať „Authentication Override“ v konfiguračných nastaveniach GlobalProtect.

Odkazy:

• https://nvd.nist.gov/vuln/detail/CVE-2026-0257
• https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257/
• https://security.paloaltonetworks.com/CVE-2026-0257