Архив за месяц: Июнь 2026

Про уязвимость Elevation of Privilege - Microsoft Defender "RedSun" (CVE-2026-41091)

Добавить комментарий

Про уязвимость Elevation of Privilege - Microsoft Defender RedSun (CVE-2026-41091)

Про уязвимость Elevation of Privilege - Microsoft Defender "RedSun" (CVE-2026-41091). Microsoft Defender - это встроенное программное обеспечение от компании Microsoft, предназначенное для защиты операционной системы Windows и пользовательских данных от вирусов, вредоносных программ и других киберугроз в режиме реального времени. Неправильное разрешение ссылок перед доступом к файлу ("link following", CWE-59) в Microsoft Defender (конкретно в компоненте Malware Protection Engine) позволяет авторизованному локальному злоумышленнику повысить привилегии до уровня SYSTEM. Это означает, что атакующий получает полный контроль над системой, включая доступ ко всем данным, возможность изменять настройки, устанавливать программное обеспечение, управлять учетными записями пользователей и отключать средства защиты.

🛠 Эксплойт для уязвимости был опубликован на GitHub исследователем Nightmare Eclipse 15 апреля вместе с эксплоитами для других уязвимостей компонентов Windows. Позже его аккаунт на GitHub был удалён администрацией, однако распространению эксплоитов это не помешало.

⚙️ Бюллетень безопасности и исправления были выпущены 19 мая вне регулярных Microsoft Patch Tuesday. Уязвимы версии Microsoft Malware Protection Engine от 1.1.26040.8 до 1.1.26030.3008. Системы, на которых отключён Microsoft Defender, не подвержены уязвимости. По умолчанию Microsoft Defender автоматически обновляет компоненты безопасности Windows, антивирусные базы и Microsoft Malware Protection Engine, поэтому обычно от пользователя не требуется дополнительных действий. Malware Protection Engine обновляется ежемесячно или по мере появления новых угроз, а антивирусные базы обновляются несколько раз в день. Проверка обновлений может выполняться автоматически от одного до нескольких раз в сутки при наличии подключения к Интернет. Также доступна ручная проверка обновлений.

👾 По данным Microsoft, уязвимость эксплуатируется в реальных атаках. Уязвимость была добавлена в каталог CISA KEV 20 мая.

💡 Особое внимание следует уделить серверным и десктопным Windows-хостам, где Microsoft Defender не отключён, но отсутствует доступ в Интернет для регулярного обновления.

Про уязвимость Remote Code Execution - PAN-OS (CVE-2026-0300)

Добавить комментарий

Про уязвимость Remote Code Execution - PAN-OS (CVE-2026-0300)

Про уязвимость Remote Code Execution - PAN-OS (CVE-2026-0300). PAN-OS - это операционная система для файерволов и платформ безопасности компании Palo Alto Networks. User-ID™ Authentication Portal (другое название Captive Portal) — это функция PAN-OS (не включенная по умолчанию), используемая для сопоставления IP-адресов с именами пользователей. Используя ошибку переполнения буфера (CWE-787), неаутентифицированный удаленный атакующий может отправить специально сформированные пакеты на устройство с включенным User-ID™ Authentication Portal, добиваясь выполнения произвольного кода с root-привилегиями на уязвимом устройстве. Аутентификация или взаимодействие с пользователем не требуются. При успешной эксплуатации уязвимости атакующий получает полный контроль над устройством: может перехватывать, изменять или блокировать сетевой трафик, получать доступ к конфиденциальным данным, обходить политики безопасности, скрывать следы компрометации, устанавливать бэкдоры и использовать устройство как точку входа для атак на внутреннюю инфраструктуру.

⚙️ Бюллетень безопасности вендора был опубликован 6 мая. Уязвимы файерволы PA-Series и VM-Series. Решения Prisma Access, Cloud NGFW и Panorama не подвержены этой уязвимости. Обновления безопасности доступны с 13 мая. В качестве workaround-а вендор рекомендует ограничить доступ к User-ID™ Authentication Portal только доверенными внутренними зонами или полностью отключить его.

👾 Также 6 мая исследователи Palo Alto Networks Unit 42 опубликовали сообщение об эксплуатации уязвимости в реальных атаках. Действия злоумышленников после эксплуатации уязвимости включают развертывание общедоступных инструментов для туннелирования (EarthWorm, ReverseSocks5), сбор информации из Active Directory с использованием учетных данных, вероятно, полученных из файервола, а также систематическое уничтожение логов и других следов компрометации. В тот же день уязвимость была добавлена в CISA KEV.

🛠 Публичный эксплойт появился на GitHub также 6 мая.

🌐 PAN-OS - одна из самых широко используемых операционных систем для корпоративных файерволов в мире. По состоянию на 5 июня Shodan отслеживает примерно 135 755 инстансов PAN-OS, доступных из Интернет, что представляет собой значительную поверхность атаки.

Тоже выскажусь по поводу удаления национального мессенджера MAX из Apple App Store и сообщения о кибершпионаже против высокопоставленных российских служащих с использованием смартфонов

Добавить комментарий

Тоже выскажусь по поводу удаления национального мессенджера MAX из Apple App Store и сообщения о кибершпионаже против высокопоставленных российских служащих с использованием смартфонов

Тоже выскажусь по поводу удаления национального мессенджера MAX из Apple App Store и сообщения о кибершпионаже против высокопоставленных российских служащих с использованием смартфонов. Во втором случае вендора не конкретизировали, но несложно догадаться, с какими именно смартфонами ходят высокопоставленные российские служащие. 😏

Начну с того, что устройства Apple объективно неплохие. Компания вкладывает огромные деньги в R&D, и это даёт определённый результат. Лучше ли техника Apple продукции других вендоров в той же ценовой категории? Имхо, незначительно. Если говорить о смартфонах, в сегменте "выше $1000" сухие характеристики железа у большинства вендоров уже практически сравнялись, а конкуренты нередко предлагают даже больше инноваций и гибкости за те же деньги. При этом устройства Apple выглядят очень симпатично и вылизанно. Компания готова вкладываться в почти маниакальную полировку деталей и бесшовность экосистемы.

Но самое крутое у Apple - это высочайший уровень маркетинга. То, как они превращают повседневные и в общем-то стандартные вещи вроде смартфона или умных часов в фетиш, материализованный символ успеха и принадлежности к определённому образу жизни. И делают это очень последовательно, массово и эффективно. Последний айфон вожделеют совершенно разные люди: от гламурных дурочек, ожидающих подарочек в качестве "базового минимума", до ТОП-чиновников и бизнесменов, которым пользоваться чем-то кроме последнего айфона в топовой конфигурации "не по статусу", и даже значительной части IT и ИБ-специалистов (тут даже не могу предположить из каких соображений 🤷‍♂️). И вот то, как Apple это делают, по-настоящему удивительно. Иногда, конечно, у них случаются проколы - ходить по улицам в в лыжной маске дополненной реальности желающих не нашлось. Но в традиционных нишах у них до сих пор получается здорово, и этому у них действительно стоит поучиться.

Но при том, что я осознаю плюсы техники Apple, пользоваться ей в России считаю каким-то странным извращением, особой формой мазохизма. У Apple гиперцентрализованная экосистема, которая напрямую контролируется из Cupertino и подчинена американскому государству. Вполне естественно, что в условиях геополитического противостояния, они будут выполнять все санкционные требования и удалять любые приложения из своего единственного магазина по первому сигналу сверху. И, без сомнений, они могут способствовать кибершпионажу против России, если их попросят. Вероятнее всего, маскируя зловредную функциональность под уязвимости, чтобы нельзя было прикопаться. Готовые инструменты для эксплуатации таких уязвимостей давно существуют. Какими могут быть последствия атак (помимо слива данных с телефонов) мы уже видели на примере операции "Триангуляция".

Не нужно быть семи пядей во лбу, чтобы это понимать. При этом у нас НИКТО не транслирует, что устройства Apple (включая iPhone) - это "игрушка дьявола" и что достойному человеку, гражданину России и патриоту, негоже ими пользоваться. Наоборот. Все держат покерфейс и продолжают яростно эплофилить вприсядку. В рекламе, если проводится какая-то маркетинговая акция, то разыгрывается техника Apple. У чиновников техника Apple. Презентации Apple сладострастно смакуются в новостях. Крупный российский бизнес продолжает тратить огромные бюджеты на разработку и поддержку приложений под iPhone, вполне осознавая, что их в любой момент могут выкинуть из App Store, и ставить приложеньки придётся в офисе через проводок. 🙄 И всё это на четвёртый год военного прокси-конфликта с Западом. 🤦‍♂️ Удивительная фигня. Хочется надеяться, что когда-нибудь эту эплофильскую вакханалию всё-таки тем или иным способом прикрутят.

На сайте Anti-Malware 25 мая вышел аналитический отчёт "Сканеры уязвимостей: обзор российского рынка и отечественных решений"

Добавить комментарий

На сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решений
На сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решенийНа сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решенийНа сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решенийНа сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решенийНа сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решенийНа сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решенийНа сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решенийНа сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решенийНа сайте Anti-Malware 25 мая вышел аналитический отчёт Сканеры уязвимостей: обзор российского рынка и отечественных решений

На сайте Anti-Malware 25 мая вышел аналитический отчёт "Сканеры уязвимостей: обзор российского рынка и отечественных решений". В обзоре были рассмотрены следующие сканеры уязвимостей:

🔻 BITsignal
🔻 Hscan
🔻 Security Vision VS
🔻 ScanOVAL
🔻 RedCheck
🔻 XSpider PRO
🔻 METASCAN
🔻 Ревизор Сети
🔻 Сканер-ВС

Для каждого решения приводятся характеристики, иллюстрации (для всех, кроме Security Vision VS, это скриншот), возможности сканера, информация о нахождении в реестрах и наличии сертификатов, а также ссылки на дополнительную информацию.

Сделал выжимку из отчёта:

💡 Предпосылки развития рынка сканеров уязвимостей. Сканеры уязвимостей давно стали одним из базовых инструментов специалистов ИБ. Их значение растёт вместе с количеством выявляемых уязвимостей и расширением ИТ-инфраструктуры организаций, особенно учитывая, что злоумышленники активно эксплуатируют не только новые, но и давно известные недостатки безопасности. Современные сканеры позволяют автоматически выявлять активы и уязвимости, сопоставлять результаты с базами CVE и БДУ ФСТЭК, помогают снижать риски информационной безопасности. Сегодня решения этого класса предлагают не только крупные международные вендоры, но и российские разработчики.

🔎 Для чего нужны сканеры уязвимостей. Сканеры уязвимостей являются одним из основных инструментов управления уязвимостями, помогая организациям выявлять неучтённые активы, ошибки конфигурации и уязвимое программное обеспечение. Они автоматизируют инвентаризацию инфраструктуры, поиск и приоритизацию уязвимостей, сопоставляют результаты с профильными базами данных и формируют рекомендации по устранению обнаруженных проблем. Такие решения используются как для снижения рисков информационной безопасности, так и для выполнения требований регуляторов. При выборе сканера важное значение имеют скорость работы, актуальность и полнота базы уязвимостей, точность обнаружения и возможность адаптации под особенности инфраструктуры заказчика.

🌍 Как развивается мировой рынок сканеров уязвимостей. Мировой рынок сканеров уязвимостей продолжает уверенно расти как в сегменте сервисов сканирования (Vulnerability Scanning Service), так и в сегменте программных продуктов (Vulnerability Scanner Software). По оценкам аналитиков, к 2033 году объём этих рынков увеличится в несколько раз благодаря распространению облачных и гибридных инфраструктур, внедрению практик DevSecOps, развитию контейнерной безопасности и автоматизации, а также использованию технологий искусственного интеллекта и машинного обучения. Среди наиболее известных решений этого класса можно выделить Nessus и Tenable.io (актуальное название - Tenable One Vulnerability Management), Qualys, Nexpose, Acunetix и Burp Suite.

🇷🇺 Как развивается российский рынок сканеров уязвимостей. Уход зарубежных сканеров уязвимостей, таких как Qualys, Nexpose и Nessus, не привёл к образованию пустоты на российском ИБ-рынке: отечественные вендоры и новые игроки VS-сегмента активно включились в процессы импортозамещения, усилив конкуренцию и расширив выбор решений для заказчиков - от классических сетевых сканеров до платформ с функциями комплаенса и поддержкой требований российских регуляторов. При этом, несмотря на развитие рынка, в отраслевых исследованиях фиксируются сохраняющиеся проблемы отечественных решений. Дополнительно аналитические материалы указывают на постепенное размывание границы между сканерами уязвимостей и системами Vulnerability Management, при этом классические сканеры остаются базовым инструментом VM-экосистем.

🧩 Альтернативные решения на рынке. Решения для управления уязвимостями (Vulnerability Management, VM) представляют собой отдельный класс систем, однако сканирование уязвимостей является их неотъемлемой частью, поэтому такие продукты часто рассматриваются вместе со сканерами уязвимостей; к ним относятся MaxPatrol VM, Security Vision VM, R-Vision VM, ScanFactory VM и Vulns.io VM. Наряду с коммерческими решениями существует большое количество сканеров с открытым исходным кодом, которые требуют высокой экспертизы и используются либо как вспомогательные инструменты, либо как источник данных в комплексных системах. Среди наиболее известных open source решений можно выделить Nikto, Nmap, Nuclei и OpenVAS, а также специализированные инструменты для контейнеров, веб-приложений, кода и баз данных. Дополнительно для задач выявления уязвимостей могут использоваться смежные классы систем, включая платформы управления поверхностью атаки (EASM) и решения для симуляции кибератак (BAS).

➡️ Выводы. Российский рынок сканеров уязвимостей активно растёт и предлагает решения для организаций любого масштаба - от малого бизнеса до крупных корпораций и госструктур. Продукты различаются по подходу: одни ориентированы на простоту использования, другие - на расширенную функциональность и гибкость настроек. В рамках импортозамещения отечественные разработчики не только создали аналоги зарубежных решений, но и адаптировали их под требования российских компаний и регуляторов.

Материал интересный. Единственное: список решений довольно неоднородный. В основном там инфраструктурные сканеры уязвимостей, но есть и периметровые сканеры (BITsignal, METASCAN), и даже бесплатный локальный хостовый сканер от ФСТЭК ScanOVAL. Не уверен, что собирать их все в одну группу "сканеров" - это правильный подход, слишком уж разные решения. Свою, на мой взгляд, более удачную классификацию я представлял в рамках проекта карты отечественных VM-вендоров.

Майский Linux Patch Wednesday

Добавить комментарий

Майский Linux Patch Wednesday

Майский Linux Patch Wednesday. Всего 1638 уязвимостей (474 в ядре Linux). Для сравнения, в апреле было 1035 уязвимостей (рекорд!). А в этот раз получается снова рекорд и более чем в полтора раза больше! Ускорение впечатляет и пугает. Но посмотрим, что дальше будет. Где-то оно должно стабилизироваться. Хотя количество критичных уязвимостей уже такое, что все их рассмотреть становится весьма проблематично. Для 7 уязвимостей есть признаки эксплуатации вживую. А ещё для 264 есть публичные эксплойты. Начнём, как обычно, с эксплуатирующихся уязвимостей по данным CISA KEV и VulnCheck KEV. Здесь в топе, ожидаемо, два громких способа получить root shell:

🔻 EoP - Linux Kernel "Copy Fail" (CVE-2026-31431)
🔻 EoP - Linux Kernel "Dirty Frag" (CVE-2026-43500)

Остальные эксплуатирующиеся:

🔻 RCE - Apache ActiveMQ (CVE-2026-40466). Судя по описанию, это обход фикса для CVE-2026-34197, о которой я уже писал ранее.

🔻 AuthBypass - Rclone (CVE-2026-41176). Rclone ("rsync для облачных хранилищ") - это консольная утилита для синхронизации файлов и каталогов между различными облачными хранилищами и локальными системами. Эксплуатация уязвимости может привести к несанкционированному доступу к чувствительной административной функциональности, включая функции настройки и удалённого управления.

🔻 RCE - NGINX (CVE-2026-42945). Уязвимость позволяет без аутентификации выполнять код на сервере при использовании директив rewrite и set.

🔻 DoS - PgBouncer (CVE-2026-6664). PgBouncer - это компактный инструмент с открытым исходным кодом для пуллинга соединений с базами данных PostgreSQL. Он снижает накладные расходы на установку соединений, управляя пулом подключений к одному или нескольким серверам PostgreSQL, что повышает производительность и эффективность использования ресурсов в приложениях с частыми короткоживущими подключениями к базе данных. Целочисленное переполнение (integer overflow) в коде разбора сетевых пакетов в версиях PgBouncer до 1.25.2 позволяет обойти проверку границ (boundary check) и может привести к аварийному завершению процесса.

🔻 XSS - Postorius (CVE-2026-44742). Postorius - это веб-интерфейс на базе Django для работы с GNU Mailman. Mailman представляет собой свободное программное обеспечение для управления списками рассылки электронной почты, включая дискуссионные группы и новостные рассылки. Уязвимость эксплуатируется в атаках, согласно VulnCheck KEV, однако публичного эксплоита пока не видно.

Из остальных уязвимостей с эксплоитом, но пока без признаков эксплуатации в реальных атаках можно выделить:

🔸 RCE - Apache HTTP Server (CVE-2026-23918). Ошибка двойного освобождения памяти (double-free) в механизме очистки потоков модуля mod_http2 Apache httpd, приводящая к возможности удалённого выполнения кода без предварительной аутентификации (pre-auth RCE).

🔸 RCE - Apache Tomcat (CVE-2026-34486). Модуль кластерных коммуникаций Apache Tomcat Tribes некорректно обрабатывает ошибки расшифрования в EncryptInterceptor и не отбрасывает соответствующие сообщения, что позволяет неаутентифицированному атакующему выполнить произвольный код через механизм десериализации Java на порту 4000.

🔸 RCE - ProFTPD (CVE-2026-42167). Ошибка в обработке некоторых переменных журналирования (например, %U) модулем mod_sql позволяет неаутентифицированному атакующему выполнить SQL-инъекцию через команду USER.

🔸 EoP - Linux Kernel "DirtyDecrypt" (CVE-2026-31635). Локальная уязвимость повышения привилегий в Linux в цепочке расшифрования RxRPC/GSSAPI. Отсутствие проверки skb_cow_data() в rxgk_decrypt_skb() позволяет непривилегированному локальному атакующему перезаписывать в памяти (в page cache) содержимое файлов, доступных только для чтения.

🔸 EoP - Linux Kernel "Fragnesia" (CVE-2026-46300). Эту уязвимость я тоже уже разбирал ранее. Ошибка в skb_try_coalesce() позволяет осуществлять запись в page cache через фрагментированные ESP-пакеты.

🔸 EoP - Linux Kernel (CVE-2026-46333). Локальное повышение привилегий до root и раскрытие учётных данных в Linux Kernel ptrace Path, обнаруженное исследователями Qualys.

🔸 EoP - PackageKit "Pack2TheRoot" (CVE-2026-41651). PackageKit - это программный комплекс с открытым исходным кодом, предназначенный для предоставления унифицированного высокоуровневого слоя абстракции над различными системами управления пакетами. Уязвимость позволяет атакующему получить root-доступ и скомпрометировать систему.

🔸 ComInj - Composer (CVE-2026-40261, CVE-2026-40176). Composer - это менеджер зависимостей для PHP. Уязвимость присутствует в методе Perforce::generateP4Command(). Из-за недостаточной очистки параметров конфигурации репозитория (таких как url, p4user или client) при формировании shell-команд атакующий, контролирующий файл composer.json, может выполнить произвольные команды в системе жертвы при выполнении composer install или composer update.

🗒 Полный отчёт Vulristics

Новая EoP уязвимость "CIFSwitch" в Linux позволяет получить права root в нескольких дистрибутивах

Добавить комментарий

Новая EoP уязвимость CIFSwitch в Linux позволяет получить права root в нескольких дистрибутивах

Новая EoP уязвимость "CIFSwitch" в Linux позволяет получить права root в нескольких дистрибутивах. Подвержены дистрибутивы Linux с уязвимыми комбинациями ядра CIFS (реализации протокола CIFS/SMB непосредственно в ядре Linux) и пакета cifs-utils (версии 6.14 и выше, хотя некоторые более старые версии также подвержены). CIFS (Common Internet File System) - это сетевой протокол, который позволяет получать доступ к файлам, папкам и устройствам в локальной сети. В Linux он используется для монтирования, чтения и записи данных с удалённых систем.

Уязвимость обнаружил Асим Вилади Оглу Манизада (Asim Viladi Oglu Manizada), инженер по безопасности SpaceX. Он опубликовал подробный технический отчёт, объясняющий причину проблемы, а также PoC эксплоита. Присвоение CVE-идентификатора всё ещё ожидается. Манизада утверждает, что CIFSwitch существует уже 19 лет (с 2007 года). Он добавляет, что уязвимость "не универсальна", и её эксплуатация зависит от ряда факторов, включая уязвимую версию ядра. Дополнительные требования включают наличие уязвимой версии cifs-utils, доступность user namespaces, а также политики SELinux/AppArmor, которые не блокируют атаку.

Некоторые дистрибутивы уязвимы в конфигурации по умолчанию:

🔻 Linux Mint 21.3 / 22.3
🔻 CentOS Stream 9
🔻 Rocky Linux 9
🔻 AlmaLinux 9
🔻 Kali Linux 2021.4–2026.1
🔻 SLES 15 SP7

Исследователь отметил, что различные версии Ubuntu, Debian, Pop!_OS, openSUSE, Oracle Linux и Amazon Linux также могут быть уязвимы, если установлен пакет cifs-utils.

Однако есть дистрибутивы, где настройки SELinux/AppArmor по умолчанию предотвращают эксплуатацию CIFSwitch:

🔹 Ubuntu 26.04
🔹 Fedora 40–44
🔹 CentOS Stream 10
🔹 Rocky Linux 10
🔹 SLES 16
🔹 AlmaLinux 10
🔹 openSUSE Leap 16

Также Amazon Linux 2 и Kali Linux 2019.4 и 2020.4 не подвержены атаке, так как их версии cifs-utils не содержат функциональности переключения namespace.

CIFSwitch был исправлен патчем ядра, который добавляет проверку происхождения запросов cifs.spnego (upstream commit 3da1fdf), однако точные версии ядра с этим исправлением зависят от дистрибутива. Исследователь рекомендует пользователям отключить или занести в чёрный список модуль CIFS, если он не используется, удалить пакет cifs-utils при ненадобности, а также отключить непривилегированные user namespaces.

CIFSwitch - последняя из недавно раскрытых уязвимостей повышения привилегий в Linux. К этой же серии относятся Copy Fail, Dirty Frag, Fragnesia, DirtyDecrypt и PinTheft.

Аналитики Rapid7 зафиксировали эксплуатацию уязвимости обхода аутентификации в PAN-OS GlobalProtect и Prisma Access (CVE-2026-0257)

Добавить комментарий

Аналитики Rapid7 зафиксировали эксплуатацию уязвимости обхода аутентификации в PAN-OS GlobalProtect и Prisma Access (CVE-2026-0257)

Аналитики Rapid7 зафиксировали эксплуатацию уязвимости обхода аутентификации в PAN-OS GlobalProtect и Prisma Access (CVE-2026-0257). PAN-OS GlobalProtect - это система удалённого защищённого доступа от Palo Alto Networks, позволяющая сотрудникам подключаться к корпоративной сети через Интернет и работать так, как будто они находятся внутри организации. Она встроена в операционную систему PAN-OS, которая работает на сетевых устройствах (межсетевых экранах) Palo Alto Networks. Prisma Access - это облачный сервис от Palo Alto Networks, обеспечивающий защищённый удалённый доступ пользователей и применение корпоративных политик безопасности без необходимости развёртывать собственные VPN-шлюзы и периметровые устройства.

13 мая 2026 года компания Palo Alto Networks опубликовала бюллетень безопасности по CVE-2026-0257 - уязвимости обхода аутентификации со средней критичностью, затрагивающей PAN-OS и Prisma Access с настроенными GlobalProtect portal или gateway, включёнными authentication override cookies и определённой конфигурацией сертификатов. Успешная эксплуатация этой уязвимости позволяет удалённому неаутентифицированному атакующему установить VPN-соединение через шлюз GlobalProtect на уязвимом устройстве.

Команда Rapid7 MDR выявила успешную эксплуатацию у многочисленных клиентов, однако не обнаружила признаков успешного латерального перемещения с этих устройств. Самая ранняя зафиксированная дата эксплуатации - 17 мая 2026 года. По состоянию на 29 мая 2026 года данная уязвимость была добавлена в каталог известных эксплуатируемых уязвимостей CISA KEV.

Аналитики Rapid7 настоятельно рекомендуют рассматривать эту уязвимость как критическую. Обход аутентификации в корпоративном VPN-устройстве, доступном с внешнего периметра, может иметь серьёзные последствия для затронутых организаций. Следует в срочном порядке установить исправление, предоставленное вендором.