Ανακαλύπτοντας την εκμετάλλευση ευπάθειας PAN-OS στα δίκτυα Palo Alto

Μια νέα κρίσιμη ευπάθεια ασφαλείας στο λογισμικό PAN-OS της Palo Alto Networks έχει προκαλέσει συναγερμό στην κυριολεξία. Η ευπάθεια, γνωστή ως CVE-2026-0257, ανακαλύφθηκε και αντίκτυπο έχει εντοπιστεί στην πλατφόρμα πρόσβασης Prisma. Η CISA (Cybersecurity & Infrastructure Security Agency) την καταχώρισε στη λίστα των γνωστών εκμεταλλευμένων ευπαθειών στις 29 Μαΐου 2026, γεγονός που υποδηλώνει πως η απειλή είναι ήδη ενεργή και διαρκεί.

Στις 13 Μαΐου 2026, η Palo Alto Networks προειδοποίησε για την κατάσταση, κάνοντας λόγο για την ικανότητα ενός απομακρυσμένου επιτιθέμενου να πλαστογραφεί cookies ελέγχου ταυτότητας. Αυτό ενδέχεται να του επιτρέψει να αποκτήσει μη εξουσιοδοτημένη πρόσβαση μέσω της πύλης GlobalProtect, θέτοντας σε κίνδυνο τις υποδομές των οργανισμών που χρησιμοποιούν αυτές τις υπηρεσίες.

Η συγκεκριμένη ευπάθεια εντοπίζεται σε μια μη προεπιλεγμένη λειτουργία που επιτρέπει την παράκαμψη του ελέγχου ταυτότητας, και η οποία εκδίδει cookies περιόδου λειτουργίας. Αυτή η δυνατότητα έχει σχεδιαστεί για να διευκολύνει τους πιστοποιημένους χρήστες, αποφεύγοντας την ανάγκη επαναλαμβανόμενου ελέγχου ταυτότητας για κάθε σύνδεση.

Το σοβαρό σφάλμα ενεργοποιείται όταν το πιστοποιητικό που χρησιμοποιείται για την κρυπτογράφηση των cookies κοινοποιείται με άλλες δυνατότητες, όπως η υπηρεσία HTTPS της πύλης. Λόγω αυτού, οι επιτιθέμενοι μπορούν να αποκτήσουν πρόσβαση στο δημόσιο κλειδί και να δημιουργήσουν έγκυρα cookies που παρακάμπτουν τον έλεγχο ταυτότητας.

Η Rapid7 εντόπισε την πρώτη εκμετάλλευση στις 17 Μαΐου 2026, με πρώτες επιθέσεις που προήλθαν από IP διευθύνσεις φιλοξενούμενες στο Vultr. Μία ημέρα μετά, εντοπίστηκαν ύποπτες ενέργειες που σχετίζονται με τον έλεγχο ταυτότητας σε λογαριασμούς τοπικών διαχειριστών σε περισσότερα από δέκα περιβάλλοντα πελατών.

Ο επιτιθέμενος χρησιμοποίησε το όνομα μηχανήματος GP-CLIENT και μια ψευδή διεύθυνση MAC (aa:bb:cc:dd:ee:ff) για να μεταμφιεστεί ως έγκυρο σημείο πρόσβασης. Στις 21 Μαΐου 2026, ένα δεύτερο κύμα επιθέσεων καταγράφηκε να χρησιμοποιεί το μηχάνημα DESKTOP-GP01, υποδεικνύοντας πιθανή συγκέντρωση απειλών.

Τα θύματα του δεύτερου κύματος ήταν κατά κύριο λόγο τελικοί χρήστες που είχαν λάβει πλήρεις εκχωρήσεις IP VPN, παραχωρώντας στους εισβολείς απευθείας πρόσβαση στα εσωτερικά δίκτυα τους. Σημειώνεται ότι 8 στους 10 πελάτες MDR παρατήρησαν μόνο ανιχνευτές ελέγχου ταυτότητας και όχι πλήρη εγκατάσταση σύνδεσης VPN.

Δείκτες Συμβιβασμού

Οι οργανισμοί καλούνται άμεσα να αναβαθμίσουν στις έγκυρες εκδόσεις του PAN-OS και Prisma Access. Οι βασικές σταθερές εκδόσεις περιλαμβάνουν μεταξύ άλλων το PAN-OS 12.1.4-h6/12.1.7, PAN-OS 11.2.12, PAN-OS 11.1.15 και PAN-OS 10.2.18-h6. Για το Prisma Access 11.2.0 είναι απαιτούμενη η έκδοση 11.2.7-h13 ή νεότερη, ενώ για το Prisma Access 10.2.0 απαιτείται η 10.2.10-h36 ή αργότερα.

Μετριασμός Κινδύνων

Οι οργανισμοί θα πρέπει να προβούν σε άμεσες ενέργειες:

• Αναβάθμιση όλων των επηρεαζόμενων εκδόσεων του PAN-OS και Prisma Access σε επιδιορθωμένες εκδόσεις από τον προμηθευτή.
• Απενεργοποίηση της δυνατότητας παράκαμψης ελέγχου ταυτότητας αν δεν είναι απαραίτητη λειτουργικά.
• Δημιουργία ενός αποκλειστικού πιστοποιητικού για την κρυπτογράφηση cookies που δεν θα κοινοποιείται με άλλες υπηρεσίες HTTPS.
• Εξέταση πιθανών IOCs στις καταγραφές ελέγχου ταυτότητας VPN και GlobalProtect.
• Ανάπτυξη κανόνων ανίχνευσης για το InsightIDR/MDR: συμπεριλαμβανομένου του “Ύποπτου ελέγχου ταυτότητας – Palo Alto GlobalProtect Cookie Authentication σε λογαριασμό τοπικού διαχειριστή.”

Παρά την μεσαία βαθμολόγηση CVSSv4, η Rapid7 προτείνει στους οργανισμούς να χαρακτηρίσουν το CVE-2026-0257 ως κρίσιμης προτεραιότητας ευπάθεια. Η δυνατότητα παράκαμψης του ελέγχου ταυτότητας σε εταιρικές συσκευές VPN που είναι εκτεθειμένες στο Διαδίκτυο αποτελεί σημαντικό διάνυσμα αρχικής πρόσβασης και καθώς η εκμετάλλευση έχει επιβεβαιωθεί, το παράθυρο για ασφαλή αποκατάσταση κλείνει γρήγορα.