Palo Alto Networks: Εκμετάλλευση κενού ασφαλείας στο GlobalProtect VPN σε ενεργές επιθέσεις

Η Palo Alto Networks ανακοίνωσε ότι εντόπισε ενεργές επιθέσεις που εκμεταλλεύονται κενό ασφαλείας στο GlobalProtect VPN, το οποίο εντοπίστηκε αρχικά στις 13 Μαΐου 2026. Η ευπάθεια, καταγεγραμμένη ως CVE-2026-0257, αφορά το PAN-OS και το Prisma Access και επέτρεπε αρχικά εκτίμηση μέτριας σοβαρότητας — αλλά η ταχύτατη ενεργοποίησή της από επιτιθέμενους ανέβασε τον χαρακτηρισμό σε υψηλό επίπεδο.

Πώς λειτουργεί η ευπάθεια

Η Palo Alto Networks διευκρίνισε ότι το CVE-2026-0257 επιτρέπει σε απομακρυσμένο, μη εξουσιοδοτημένο εισβολέα να πλαστογραφεί cookies παράκαμψης ελέγχου ταυτότητας και να δημιουργεί μη εξουσιοδοτημένες συνδέσεις VPN μέσω του GlobalProtect gateway. Η ευπάθεια υπάρχει σε μια μη προεπιλεγμένη λειτουργία, που ονομάζεται «authentication override», η οποία επιτρέπει στις πύλες και τα portals GlobalProtect να εκδίδουν cookies περιόδου σύνδεσης σε χρήστες που έχουν ήδη πιστοποιηθεί.

Συγκεκριμένα, η ευπάθεια ενεργοποιείται όταν το πιστοποιητικό (certificate) που χρησιμοποιείται για την κρυπτογράφηση και αποκρυπτογράφηση των cookies παράκαμψης κοινοποιείται με άλλο χαρακτηριστικό, όπως η υπηρεσία HTTPS του portal ή του gateway. Αυτό επιτρέπει στον εισβολέα να πλαστογραφήσει έγκυρα cookies, εντελώς εκτός του κανονικού κύκλου πιστοποίησης.

Δύο κύματα επιθέσεων επιβεβαιώνει η Rapid7

Οι ερευνητές της Rapid7 παρατήρησαν την πρώτη επιβεβαιωμένη εκμετάλλευση της ευπάθειας στις 17 Μαΐου 2026. Κατά αυτό το αρχικό κύμα, οι επιτιθέμενοι ξεκίνησαν ύποπτα αιτήματα πιστοποίησης μέσω cookies σε τοπικούς λογαριασμούς διαχειριστή σε πολλαπλά περιβάλλοντα πελατών. Η κακόβουλη κίνηση προερχόταν από διευθύνσεις IP που φιλοξενούνταν στο Vultr, ενώ οι επιτιθέμενοι μεταμφιέστηκαν ως νόμιμα τερματικά χρησιμοποιώντας το όνομα μηχανής GP-CLIENT σε συνδυασμό με πλαστή διεύθυνση MAC.

Ένα δεύτερο κύμα επιθέσεων ξεκίνησε στις 21 Μαΐου 2026, με αφετηρία τον πάροχο φιλοξενίας Dromatics Systems. Σε αυτή τη φάση, οι παράγοντες απειλής χρησιμοποίησαν το όνομα μηχανής DESKTOP-GP01 και κατάφεραν να εξασφαλίσουν πλήρεις αναθέσεις VPN IP σε ορισμένα παραβιασμένα περιβάλλοντα, αποκτώντας άμεση πρόσβαση στα εσωτερικά δίκτυα. Η συνεπής χρήση της ίδιας πλαστής διεύθυνσης MAC και στις δύο καμπάνιες υποδηλώνει έναν ενιαίο παράγοντα απειλής πίσω από αμφότερες τις επιθέσεις.

Αξίζει να σημειωθεί ότι 8 στους 10 επηρεαζόμενους πελάτες MDR αντιμετώπισαν μόνο ανιχνευτικές δοκιμές πιστοποίησης και όχι πλήρη εγκατάσταση VPN περιόδου σύνδεσης. Αυτό πιθανώς υποδηλώνει ότι η δραστηριότητα βρίσκεται σε φάση αναγνώρισης στόχων.

CISA: Υποχρεωτικό patch έως 19 Ιουνίου

Σε απάντηση στις αυξανόμενες επιθέσεις, η Αμερικανική Υπηρεσία Κυβερνοασφάλειας και Ασφάλειας Υποδομών (CISA) πρόσθεσε το CVE-2026-0257 στον Κατάλογο Γνωστών Ευπαθειών (Known Exploited Vulnerabilities — KEV) στις 29 Μαΐου 2026. Οι ομοσπονδιακές πολιτικές υπηρεσίες υποχρεούνται να εφαρμόσουν τις διορθώσεις του κατασκευαστή έως τις 19 Ιουνίου 2026, στο πλαίσιο της Δεσμευτικής Επιχειρησιακής Οδηγίας 22-01 (Binding Operational Directive 22-01).

Παρόλο που η ευπάθεια φέρει μέτρια βαθμολογία CVSSv4, οι ερευνητές της Rapid7 καλούν τις οργανώσεις να την αντιμετωπίσουν ως απειλή κρίσιμης προτεραιότητας που απαιτεί άμεση αντιμετώπιση. Ένα κενό πιστοποίησης σε μια εταιρική συσκευή VPN εκτεθειμένη στο διαδίκτυο αποτελεί σημαντικό αρχικό διάνυσμα πρόσβασης — και με επιβεβαιωμένη ενεργή εκμετάλλευση και δημόσια διαθέσιμο proof-of-concept script, το παράθυρο ασφαλούς αποκατάστασης κλείνει γρήγορα.

Εκδόσεις PAN-OS που επηρεάζονται και διορθωμένες εκδόσεις

Οι διαχειριστές πρέπει να αναβαθμίσουν άμεσα τις επηρεαζόμενες εκδόσεις PAN-OS και Prisma Access. Οι βασικές διορθωμένες εκδόσεις PAN-OS είναι οι: 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15 και 10.2.18-h6. Για το Prisma Access, όσοι τρέχουν έκδοση 11.2.0 πρέπει να αναβαθμίσουν σε 11.2.7-h13 ή νεότερη, ενώ τα περιβάλλοντα με έκδοση 10.2.0 πρέπει να αναβαθμίσουν σε 10.2.10-h36 ή νεότερη.

Τι πρέπει να κάνετε τώρα

Ως άμεσο μέτρο άμυνας, οι διαχειριστές θα πρέπει να απενεργοποιήσουν εντελώς τη λειτουργία «authentication override» αν δεν αποτελεί αυστηρή επιχειρησιακή απαίτηση. Επιπλέον, οι οργανισμοί καλούνται ανεπιφύλακτα να αναζητήσουν ενδείξεις παραβίασης σε όλα τα αρχεία καταγραφής VPN και GlobalProtect, ενώ τα κέντρα επιχειρήσεων ασφαλείας θα πρέπει να αναπτύξουν κανόνες ανίχνευσης για ύποπτες προσπάθειες πιστοποίησης μέσω cookie που στοχεύουν τοπικούς λογαριασμούς διαχειριστή.

Πηγές

• BleepingComputer: Palo Alto GlobalProtect VPN auth bypass flaw now exploited in attacks
• GBHackers: Palo Alto PAN-OS Authentication Bypass Vulnerability Actively Exploited in the Wild
• Cybersecurity News: Palo Alto Networks PAN-OS Authentication Vulnerability Bypass Exploited in the Wild
• Windows News AI: CISA Flags Palo Alto GlobalProtect Auth Bypass CVE-2026-0257
• Palo Alto Networks Security Advisories (επίσημη σελίδα)