Hacking
Κρίσιμη παράκαμψη πιστοποίησης σε Palo Alto PAN-OS
Μια ενεργή εκμετάλλευση σε Palo Alto GlobalProtect επιτρέπει σε επιτιθέμενους να πλαστογραφήσουν session cookies και να αποκτήσουν VPN πρόσβαση. Το άρθρο εξηγεί τον τεχνικό τρόπο, τα μοτίβα επιθέσεων, τους κρίσιμους δείκτες παραβίασης και τα συγκεκριμένα patches και μετριαστικά που πρέπει να εφαρμοστούν.
Μια πρακτικά ενεργή εκμετάλλευση μιας ευπάθειας που επιτρέπει παράκαμψη πιστοποίησης σε προϊόντα της Palo Alto Networks έχει θέσει σε συναγερμό ομάδες ασφαλείας παγκοσμίως. Η ευπάθεια, καταχωρημένη ως CVE-2026-0257, αφορά το λειτουργικό PAN-OS και την υπηρεσία Prisma Access, και επιτρέπει σε απομακρυσμένους, μη αυθεντικοποιημένους επιτιθέμενους να κατασκευάσουν έγκυρα cookie αυθεντικοποίησης και να δημιουργήσουν μη εξουσιοδοτημένες VPN συνδέσεις μέσω του gateway GlobalProtect. Παρά την επίσημη βαθμολόγηση CVSSv4 σε μεσαίο επίπεδο, η πραγματική απειλή κρίνεται σοβαρή και απαιτεί άμεσα remedial μέτρα.
Η εμφάνιση ενεργής εκμετάλλευσης ώθησε την αμερικανική υπηρεσία CISA να προσθέσει το CVE-2026-0257 στον κατάλογο Known Exploited Vulnerabilities (KEV) στις 29 Μαΐου 2026. Ερευνητές του Rapid7 παρατήρησαν τις πρώτες επιβεβαιωμένες επιθέσεις ήδη στις 17 Μαΐου, λίγες ημέρες μετά την αρχική γνωστοποίηση από την Palo Alto στις 13 Μαΐου. Τα γεγονότα δείχνουν σαφώς ότι η εκμετάλλευση κυκλοφορεί στο wild και ότι οργανισμοί θα πρέπει να ενεργήσουν χωρίς καθυστέρηση.
Πώς λειτουργεί η ευπάθεια τεχνικά
Η ρίζα του προβλήματος είναι μια μη προεπιλεγμένη λειτουργία που ονομάζεται authentication override. Η λειτουργία αυτή εκδίδει session cookie σε έναν ήδη αυθεντικοποιημένο χρήστη, ώστε να μην απαιτούνται συνεχείς επανεισαγωγές διαπιστευτηρίων. Το λάθος εντοπίζεται στον τρόπο που αυτά τα cookie κρυπτογραφούνται και αποκρυπτογραφούνται.
Στην περίπτωση που το πιστοποιητικό που χρησιμοποιείται για την κρυπτογράφηση των authentication override cookie μοιράζεται και με την HTTPS υπηρεσία του portal, τότε το δημόσιο κλειδί γίνεται διαθέσιμο σε τρίτους. Η διαδικασία αποκρυπτογράφησης μέσα στο δυαδικό /usr/local/bin/gpsvc δεν ελέγχει υπογραφές ή άλλα στοιχεία ακεραιότητας: αν κάποιος γνωρίζει το δημόσιο κλειδί, μπορεί να σκαρώσει ένα cookie που θα θεωρηθεί έγκυρο από το σύστημα, παρακάμπτοντας την αυθεντικοποίηση.
Πρακτική απόδειξη και μοτίβα επίθεσης
Οι ερευνητές του Rapid7 κατέγραψαν δυο κύματα επιθέσεων. Το πρώτο ξεκίνησε στις 17 Μαΐου και εμφανίστηκε ως σειρά δοκιμαστικών αιτημάτων αυθεντικοποίησης με cookie σε λογαριασμούς τοπικών διαχειριστών σε πολλούς πελάτες. Η πηγή της κίνησης ήταν IP διευθύνσεις φιλοξενούμενες στο Vultr, και οι επιτιθέμενοι χρησιμοποιούσαν το όνομα μηχανής GP-CLIENT μαζί με μια ψεύτικη MAC διεύθυνση.
Το δεύτερο κύμα άρχισε στις 21 Μαΐου από IPs που ανήκουν στον πάροχο Dromatics Systems. Εδώ οι επιτιθέμενοι εμφανίστηκαν ως DESKTOP-GP01 και σε ορισμένες περιπτώσεις πέτυχαν να λάβουν πλήρεις αναθέσεις VPN IP, αποκτώντας έτσι πραγματική πρόσβαση σε εσωτερικά δίκτυα. Η χρήση της ίδιας ψεύτικης MAC διεύθυνσης και στα δύο κύματα υποδηλώνει κοινή προέλευση ή τον ίδιο φορέα απειλής.
Σημαντικοί δείκτες παραβίασης που πρέπει να αναζητήσετε
Για γρήγορη αναγνώριση, οι ειδικοί δημοσίευσαν συγκεκριμένα Indicators of Compromise που αξίζει να ελεγχθούν με προτεραιότητα στα VPN και GlobalProtect logs. Μεταξύ αυτών περιλαμβάνονται οι IP διευθύνσεις 104.207.144[.]154 και 146.19.216[.]119/.120/.125, η ψεύτικη MAC διεύθυνση aa:bb:cc:dd:ee:ff και τα ονόματα μηχανής GP-CLIENT και DESKTOP-GP01. Οι διευθύνσεις έχουν «defanged» με τελεία σε αγκύλη για ασφάλεια· χρησιμοποιήστε τα κανονικά μόνο σε ελεγχόμενα threat intelligence περιβάλλοντα.
Οι ομάδες ασφαλείας πρέπει να κυνηγήσουν αρχεία σύνδεσης, αίτηματα cookie authentication, αιτήσεις για το gpsvc και ασυνήθιστα μοτίβα όπως αιτήσεις από hosting providers, πολλαπλές αποτυχημένες δοκιμές σε τοπικούς admin λογαριασμούς και ξαφνικές αναθέσεις VPN IP σε άγνωστες συσκευές.
Τι να κάνετε τώρα: patches και άμεσα μέτρα
Η πιο αξιόπιστη λύση είναι να εφαρμόσετε τα διορθωτικά που κυκλοφόρησε η Palo Alto Networks. Για PAN-OS τα κρίσιμα σταθερά releases περιλαμβάνουν 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15 και 10.2.18-h6. Για Prisma Access, το περιβάλλον στην έκδοση 11.2.0 πρέπει να αναβαθμιστεί σε 11.2.7-h13 ή νεότερο και η σειρά 10.2.0 σε 10.2.10-h36 ή νεότερη.
Αν το authentication override δεν είναι απαραίτητο για τη λειτουργία σας, η προσωρινή απενεργοποίησή του μειώνει δραστικά τον κίνδυνο. Αν είναι λειτουργικά κρίσιμο, δημιουργήστε και χρησιμοποιήστε ένα αποκλειστικό πιστοποιητικό μόνο για την κρυπτογράφηση των authentication override cookie και βεβαιωθείτε ότι αυτό το πιστοποιητικό δεν κοινοποιείται με την HTTPS υπηρεσία ή άλλες λειτουργίες του portal.
Επιπλέον τεχνικές και διαδικαστικές προτάσεις
Η διαχείριση πιστοποιητικών πρέπει να αναθεωρηθεί: ξεχωριστά κλειδιά ανά υπηρεσία, περιορισμός πρόσβασης στα ιδιωτικά κλειδιά και χρήση hardware security modules (HSM) όπου είναι δυνατόν. Επιπλέον, ενεργοποιήστε και βελτιώστε logging και telemetry για GlobalProtect sessions, καταγράψτε αναθέσεις IP, διάρκειες συνεδρίας και ασυνήθιστες MAC διευθύνσεις.
Αν η παραβίαση επιβεβαιωθεί, ακολουθήστε ένα τυπικό playbook incident response: απομονώστε τις επηρεασμένες συσκευές, τραβήξτε και ασφαλίστε logs, εντοπίστε persistence mechanisms, αναζητήστε lateral movement και αποσαφηνίστε το scope της πρόσβασης. Εξετάστε τη δυνατότητα reset διαπιστευτηρίων τοπικών διαχειριστών και επαναφοράς οποιωνδήποτε μη εξουσιοδοτημένων VPN assignments.
Γιατί έχει σημασία
Τα gateways τύπου GlobalProtect είναι η πύλη προς τα εσωτερικά δίκτυα εταιρειών, ιδιαίτερα σε ένα περιβάλλον με διασκορπισμένους απομακρυσμένους εργαζόμενους και cloud workload. Μια επιτυχημένη παράκαμψη πιστοποίησης μπορεί να επιτρέψει σε έναν επιτιθέμενο να αποκτήσει άμεση δικτυακή παρουσία, να κινηθεί πλάγια, να αναπτύξει backdoors και τελικά να κλέψει δεδομένα ή να κρυπτογραφήσει συστήματα για λύτρα.
Ακόμα και όταν η επίθεση περιορίζεται σε “probe” στάδιο —όπως συνέβη σε αρκετές περιπτώσεις που κατέγραψε το Rapid7— το γεγονός ότι γίνονται δοκιμαστικές επιθέσεις σε λογαριασμούς τοπικών admin αποκαλύπτει δοκιμές ωριμότητας εκμετάλλευσης και πιθανό μεταβατικό στάδιο πριν από ευρύτερες, πιο καταστροφικές ενέργειες. Ομοιοτυπίες στα artifacts των επιθέσεων υποδεικνύουν ότι ένας φορέας απειλής ήδη αξιοποιεί αυτή την ευπάθεια ενεργά.
Για τις ομάδες ασφαλείας και τους IT admins, το βασικό συμπέρασμα είναι απλό: μην βασίζεστε αποκλειστικά στην αρχική CVSS βαθμολόγηση. Όταν υπάρχει ενεργή εκμετάλλευση, η προτεραιότητα αλλάζει και η ταχεία εφαρμογή διορθώσεων, οι βελτιωμένες πολιτικές πιστοποιητικών και η διεξοδική ανίχνευση πρέπει να τεθούν σε εφαρμογή άμεσα.
