Что такое CVE-2026-0257?

CVE-2026-0257 — это критическая уязвимость обхода аутентификации в GlobalProtect VPN от Palo Alto Networks, затрагивающая программное обеспечение PAN-OS.

Активно ли эксплуатируется эта уязвимость?

Да, Palo Alto Networks подтвердила активную эксплуатацию этой уязвимости злоумышленниками.

Что позволяет сделать злоумышленнику эта уязвимость?

Она позволяет неаутентифицированному злоумышленнику, имеющему сетевой доступ, обходить средства контроля входа и получать несанкционированный доступ к корпоративным сетям без действительных учётных данных.

Кто затронут уязвимостью CVE-2026-0257?

Затронуты организации, использующие PAN-OS с порталами или шлюзами GlobalProtect, доступными из интернета.

Как ИТ-администраторам следует реагировать на эту угрозу?

Им следует рассматривать это как ситуацию реагирования на инцидент: проверять наличие уязвимых версий и любые признаки несанкционированного доступа, а не относиться к этому как к рядовой задаче по управлению исправлениями.

CVE-2026-0257: Уязвимость обхода аутентификации GlobalProtect VPN активно эксплуатируется

CVE-2026-0257: Уязвимость обхода аутентификации GlobalProtect VPN теперь активно эксплуатируется

Palo Alto Networks подтвердила, что критическая уязвимость обхода аутентификации в её продукте GlobalProtect VPN активно эксплуатируется злоумышленниками. Уязвимость, отслеживаемая как CVE-2026-0257, затрагивает программное обеспечение PAN-OS компании и позволяет злоумышленникам получать несанкционированный доступ к корпоративным сетям без действительных учётных данных. Если ваша организация использует GlobalProtect VPN, это не теоретический риск — атаки происходят прямо сейчас.

Что делает CVE-2026-0257 и как злоумышленники её эксплуатируют

По своей сути уязвимость обхода аутентификации GlobalProtect VPN позволяет неаутентифицированному злоумышленнику, имеющему сетевой доступ, обходить элементы управления входом, которые должны служить барьером для доступа в корпоративную среду. На практике это означает, что злоумышленнику не нужны украденные пароли или фишинговая кампания, чтобы «пройти через парадную дверь». Он может просто воспользоваться уязвимостью напрямую против VPN-шлюза или интерфейса портала, доступного в интернете.

Уязвимости обхода аутентификации особенно опасны, потому что они подрывают основополагающее допущение любой системы контроля доступа: что войти могут только авторизованные пользователи. Как только злоумышленник обходит аутентификацию на VPN-шлюзе, он, как правило, попадает внутрь сетевого периметра, который проектировался как доверенный, что даёт ему значительную фору для бокового перемещения, кражи данных или развёртывания программ-вымогателей.

Palo Alto Networks не раскрыла полные технические детали цепочки эксплойта в своём публичном бюллетене — это стандартная практика, позволяющая ограничить преимущества злоумышленников, пока устанавливаются исправления. Однако подтверждение активной эксплуатации означает, что у злоумышленников уже есть работающий код эксплойта.

Этот инцидент вписывается в тревожную тенденцию. Как мы освещали в репортаже о CVE-2026-0300, когда хакеры, спонсируемые государствами, атаковали межсетевые экраны Palo Alto, PAN-OS неоднократно становился целью для опытных злоумышленников, которые понимают, что компрометация периметра безопасности сети открывает доступ ко всему, что находится за ним.

Кто затронут: корпоративные сети, ИТ-администраторы и удалённые сотрудники

GlobalProtect — это VPN-продукт корпоративного уровня, используемый крупными организациями для предоставления удалённым сотрудникам безопасного доступа к внутренним системам. Затронута в первую очередь корпоративная ИТ-среда, в которой используется PAN-OS с порталами или шлюзами GlobalProtect, доступными из интернета.

Для ИТ-администраторов первоочередная задача — выяснить, используют ли их развёртывания GlobalProtect уязвимую версию, и имел ли место несанкционированный доступ. Учитывая подтверждённую активную эксплуатацию, организациям следует рассматривать это как ситуацию реагирования на инцидент, а не просто как задачу по управлению исправлениями.

Для удалённых сотрудников риск является косвенным, но реальным. Если злоумышленник воспользуется CVE-2026-0257 для проникновения в корпоративную сеть через VPN-шлюз, под угрозой могут оказаться внутренние коммуникации сотрудников, файловые системы и учётные данные, хранящиеся на внутренних серверах. Сотрудникам организаций, использующих GlobalProtect, следует обращать внимание на любые необычные ИТ-уведомления или запросы на сброс пароля в ближайшие дни.

Небольшим компаниям, полагающимся на поставщиков управляемых услуг (MSP), использующих оборудование Palo Alto, также следует связаться со своими провайдерами, чтобы убедиться, что принимаются меры по устранению.

Действия по устранению, рекомендованные Palo Alto Networks прямо сейчас

Palo Alto Networks выпустила исправления для затронутых версий PAN-OS и настоятельно рекомендует клиентам применить их немедленно. Общая процедура устранения включает несколько шагов:

Обновите PAN-OS: Примените предоставленное вендором исправление к уязвимой версии PAN-OS в качестве основного решения. Обратитесь к официальному бюллетеню безопасности Palo Alto Networks за номерами конкретных версий, закрывающих CVE-2026-0257.
Ограничьте доступность портала и шлюза: Там, где это возможно с эксплуатационной точки зрения, ограничьте доступ к порталу и шлюзу GlobalProtect известными диапазонами IP-адресов, а не оставляйте их открытыми для всего интернета.
Проверьте журналы доступа: Проанализируйте журналы аутентификации на предмет аномальных или неудачных попыток входа, особенно успешных аутентификаций с неожиданных IP-адресов или в необычное время — это может указывать на предшествующую эксплуатацию.
Включите сигнатуры предотвращения угроз: Palo Alto Networks отметила, что клиенты с подпиской Threat Prevention могут применить специальные сигнатуры угроз в качестве временного уровня защиты, пока развёртываются исправления.
Сегментируйте внутренние сети: Организации, придерживающиеся принципов наименьших привилегий и сегментации сети, ограничат возможности злоумышленника даже в случае успешной эксплуатации уязвимости.

Здесь важна скорость. При подтверждённой активной эксплуатации окно между обнаружением известной уязвимости и массовыми оппортунистическими атаками сокращается очень быстро.

Что уязвимости корпоративных VPN означают для вашего собственного выбора VPN

Для читателей, не являющихся корпоративными ИТ-администраторами, события, подобные CVE-2026-0257, несут более широкий урок о том, как на практике работает безопасность VPN. VPN настолько безопасен, насколько безопасно программное обеспечение, на котором он работает. Независимо от того, оцениваете ли вы корпоративные решения для бизнеса или выбираете персональный VPN-сервис, репутация поставщика в выявлении, раскрытии и исправлении уязвимостей имеет не меньшее значение, чем список функций.

Корпоративные VPN-продукты, такие как GlobalProtect, являются целями высокой ценности именно потому, что их компрометация открывает доступ ко всей корпоративной сети. Потребительские VPN-сервисы сталкиваются с другими моделями угроз, но не застрахованы от программных уязвимостей. Ключевые вопросы, которые следует задать о любом VPN-провайдере: насколько быстро они реагируют на раскрытые уязвимости, имеют ли они прозрачный процесс исправления и проактивно ли общаются с клиентами при возникновении проблем.

Частота, с которой PAN-OS в последнее время фигурирует в бюллетенях безопасности, заслуживает внимания любой организации, оценивающей свой набор средств защиты. Это не означает полного отказа от платформы, но говорит о необходимости убедиться, что процессы управления исправлениями надёжны, а стратегии глубокоэшелонированной защиты реализованы так, чтобы компрометация одного компонента не отдавала злоумышленникам ключи от всего.

Что это значит для вас

Если ваша организация использует GlobalProtect VPN от Palo Alto Networks, относитесь к CVE-2026-0257 как к текущему инциденту, а не как к будущему риску. Немедленно примените исправления, проверьте журналы доступа и ограничьте доступность портала, где это возможно. Если вы сотрудник, чья компания использует GlobalProtect, поднимите этот вопрос перед вашей ИТ-командой уже сегодня.

Для всех, кто оценивает корпоративные или персональные VPN-решения, используйте это событие как повод изучить, как вендоры обрабатывают раскрытие и исправление уязвимостей. vpn.social регулярно освещает события в сфере безопасности корпоративных и персональных VPN, поэтому добавьте наш сайт в закладки, чтобы быть в курсе развития ситуации и получать более широкие рекомендации по осознанному выбору VPN.