VAROVANIE: Aktívne zneužívanie zraniteľnosti vo VPN od Palo Alto

Výskumníci v oblasti kybernetickej bezpečnosti a vládne agentúry bijú na poplach po tom, čo útočníci začali aktívne zneužívať novoodhalenú zraniteľnosť, ktorá postihuje široko používanú VPN platformu GlobalProtect od spoločnosti  Palo Alto NetworksAttachment.tiff. Vznikajú obavy z rozsiahlych prienikov do podnikových sietí.

Zraniteľnosť evidovaná pod označením CVE-2026-0257 ovplyvňuje softvér PAN-OS, používaný vo firewalloch Palo Alto Networks, a za určitých konfigurácií umožňuje útočníkom obísť autentifikačné mechanizmy. Bezpečnostní experti upozorňujú, že zraniteľnosť môže umožniť neoprávneným používateľom vytvoriť VPN spojenie do firemného prostredia bez platných prihlasovacích údajov.

Zraniteľnosť bola pôvodne zverejnená začiatkom mesiaca s hodnotením závažnosti „Medium“ (stredná). V piatok však Palo Alto Networks výrazne zvýšilo jej hodnotenie po potvrdení, že hackeri už začali zneužívať nezaplátané systémy v reálnych útokoch.

Spoločnosť teraz klasifikuje problém ako „High“ (vysoká závažnosť) po získaní dôkazov o aktívnom zneužívaní internetovo dostupných brán GlobalProtect.

Táto situácia poukazuje na rastúce obavy v komunite kybernetickej bezpečnosti z rýchlosti, akou útočníci premieňajú novozverejnené zraniteľnosti na funkčné útoky, najmä ak ide o infraštruktúru vzdialeného prístupu široko nasadenú vo firemných a štátnych sieťach.

Pokusy o zneužitie zaznamenané po celom svete

V aktualizovanom bezpečnostnom oznámení Palo Alto Networks priznalo, že útoky proti zraniteľným zariadeniam už prebiehajú.

„Palo Alto Networks si je vedomé obmedzeného počtu pokusov o zneužitie nezaplátaných zariadení PAN-OS, na ktorých neboli aplikované zmierňujúce opatrenia.“

Varovanie nasledovalo po samostatnom vyšetrovaní spoločnosti  Rapid7Attachment.tiff. Jej tím Managed Detection and Response (MDR) uviedol, že zaznamenal zneužívanie už 17. mája, len niekoľko dní po zverejnení technických detailov zraniteľnosti.

Podľa výskumníkov Rapid7 boli útoky identifikované v mnohých zákazníckych prostrediach, čo naznačuje, že útočníci začali zraniteľnosť využívať prakticky okamžite po jej zverejnení.

„Najskorší zaznamenaný dátum zneužitia bol 17. máj 2026,“ uviedla spoločnosť Rapid7 s tým, že postihnuté organizácie pôsobili vo viacerých sektoroch.

Hoci vyšetrovatelia nezaznamenali rozsiahly laterálny pohyb po počiatočnom prieniku, zdôraznili, že už samotná úspešná VPN autentifikácia predstavuje vážne riziko, pretože útočník získava priamy prístup do internej podnikovej siete.

Ako zraniteľnosť funguje

Zraniteľnosť sa týka funkcie známej ako „authentication override cookies“, mechanizmu určeného na zjednodušenie prihlasovania používateľov do VPN GlobalProtect.

Za normálnych okolností tieto cookies umožňujú už overeným používateľom opätovne sa pripojiť bez nutnosti opakovane zadávať prihlasovacie údaje. Výskumníci Rapid7 však zistili, že PAN-OS za určitých konfigurácií tieto cookies nesprávne overuje.

Problém vzniká preto, že zasiahnuté zariadenia dešifrujú autentifikačný cookie a dôverujú jeho obsahu bez dostatočného overenia digitálneho podpisu.

V prostrediach, kde organizácie používajú rovnaký certifikát pre HTTPS služby aj pre funkciu authentication override, môžu útočníci získať príslušný verejný kľúč z verejne dostupných HTTPS spojení.

Tento verejný kľúč potom možno využiť na vytvorenie falošných autentifikačných cookies, ktoré sa tvária ako legitímne a dokážu impersonovať ľubovoľného používateľa – vrátane lokálnych administrátorských účtov.

V praxi to znamená, že útočníci môžu úplne obísť tradičné autentifikačné mechanizmy.

Výskumníci Rapid7 vytvorili proof-of-concept exploit, ktorý demonštruje, ako možno:

  1. získať verejne dostupné certifikáty,
  2. vytvoriť falošné autentifikačné cookies,
  3. úspešne sa prihlásiť do zraniteľných brán GlobalProtect bez platných prihlasovacích údajov.

Táto metóda poukazuje na riziká opakovaného používania certifikátov na viacero bezpečnostných účelov, čo je napriek dlhodobým varovaniam kryptografických expertov stále bežná prax v mnohých podnikových prostrediach.

VPN infraštruktúra zostáva hlavným cieľom útočníkov

Incident je ďalšou pripomienkou, že VPN infraštruktúra patrí medzi najatraktívnejšie ciele pre kyberzločincov, ransomvérové skupiny aj štátom podporovaných hackerov.

Od pandémie COVID-19 a masového rozšírenia práce na diaľku sa VPN brány stali kľúčovou súčasťou podnikovej bezpečnostnej architektúry. Ich dostupnosť z internetu z nich však robí mimoriadne hodnotné vstupné body pre útočníkov.

Počas posledných rokov zraniteľnosti v produktoch spoločností ako:

  • Palo Alto NetworksAttachment.tiff
  • IvantiAttachment.tiff
  • FortinetAttachment.tiff
  • CiscoAttachment.tiff

opakované umožnili rozsiahle kybernetické prieniky.

V mnohých prípadoch útočníci začnú zraniteľnosť zneužívať už v priebehu dní alebo dokonca hodín od jej zverejnenia.

VPN zariadenia sú obzvlášť nebezpečné ciele, pretože úspešné zneužitie často obchádza endpoint bezpečnostné riešenia a poskytuje priamy prístup na úrovni siete.

Po úspešnej autentifikácii cez VPN sa útočník javí ako dôveryhodný interný používateľ, čo výrazne komplikuje detekciu.

Útočná infraštruktúra spojená s cloudovými poskytovateľmi

Vyšetrovanie Rapid7 prinieslo aj informácie o infraštruktúre použitej pri útokoch.

Prvá vlna útokov pochádzala zo serverov hostovaných cloudovým poskytovateľom  VultrAttachment.tiff. Druhá vlna bola neskôr spojená s infraštruktúrou spoločnosti Dromatics Systems.

Používanie prenajatej cloudovej infraštruktúry je medzi pokročilými kyberzločineckými skupinami čoraz bežnejšie, pretože umožňuje:

  • rýchlo meniť servery,
  • sťažovať atribúciu útokov,
  • maskovať škodlivú prevádzku medzi legitímnou cloudovou komunikáciou.

Hoci pôvod útokov zatiaľ nebol jednoznačne určený, výskumníci uviedli, že vzory zneužívania pripomínajú oportunistické skenovacie kampane typické pre finančne motivovaných útočníkov.

CISA pridala zraniteľnosť do zoznamu KEV

Závažnosť hrozby sa ešte zvýšila po tom, čo americká agentúra Cybersecurity and Infrastructure Security Agency pridala CVE-2026-0257 do svojho katalógu Known Exploited Vulnerabilities (KEV).

KEV obsahuje zraniteľnosti:

  • ktoré sú aktívne zneužívané v praxi,
  • predstavujú významné riziko pre štátne organizácie,
  • môžu ohroziť kritickú infraštruktúru.

Federálne civilné agentúry USA musia podľa platných smerníc odstrániť túto zraniteľnosť najneskôr do 1. júna 2026.

Zaradenie do KEV zoznamu je často signálom zvýšenej pozornosti federálnych bezpečnostných orgánov a vedie k rozsiahlym aktualizáciám systémov vo verejnom aj súkromnom sektore.

Organizácie by mali aktualizovať okamžite

Palo Alto Networks aj nezávislí výskumníci dôrazne odporúčajú organizáciám okamžite nainštalovať najnovšie bezpečnostné aktualizácie PAN-OS.

Bezpečnostným tímom sa odporúča:

  • vykonať audit konfigurácie GlobalProtect,
  • identifikovať opakované používanie certifikátov,
  • podľa možností vypnúť authentication override cookies.

Ak nie je možné systém okamžite aktualizovať, odporúčajú sa aspoň tieto dočasné opatrenia:

  • vypnúť authentication override funkcionalitu,
  • používať oddelené certifikáty pre HTTPS a autentifikačné cookies,
  • obmedziť dostupnosť VPN pomocou segmentácie siete,
  • monitorovať VPN prihlasovacie logy na anomálie,
  • kontrolovať aktivitu administrátorských účtov,
  • vykonávať threat hunting zameraný na neoprávnené VPN relácie.

Internetovo dostupná VPN infraštruktúra býva útočníkmi skenovaná doslova v priebehu minút od zverejnenia novej zraniteľnosti.

Organizácie by mali predpokladať, že každé zraniteľné zariadenie dostupné z internetu bude skôr či neskôr terčom útoku.

Širšie obavy o bezpečnosť podnikových hraničných zariadení

Incident opätovne otvoril diskusiu o bezpečnosti tzv. „enterprise edge“ zariadení a o rastúcej koncentrácii kritických bezpečnostných funkcií v zariadeniach vystavených internetu.

Moderné firewally a VPN platformy často kombinujú:

  • autentifikáciu,
  • správu certifikátov,
  • webové služby,
  • vzdialený prístup,
  • kontrolu sieťovej prevádzky,

do jedného zariadenia.

Hoci je to prevádzkovo pohodlné, bezpečnostní výskumníci upozorňujú, že takáto architektúra zvyšuje systémové riziko.

Ak zlyhá hraničné zariadenie, dôsledky bývajú katastrofálne – jediný úspešný bypass môže odhaliť celú internú sieť.

Útočníci sa na tieto zariadenia zameriavajú čoraz viac, pretože často fungujú mimo bežnej viditeľnosti endpoint bezpečnostných nástrojov a bývajú aktualizované menej často než operačné systémy alebo desktopové aplikácie.

Rastúci tlak na bezpečnostné tímy

Incident okolo Palo Alto zároveň ukazuje rastúci tlak na bezpečnostné tímy, ktoré musia reagovať na neustály prúd kritických zraniteľností.

Organizácie dnes čelia čoraz kratšiemu času medzi zverejnením zraniteľnosti a jej aktívnym zneužívaním.

Podľa viacerých štúdií v oblasti kybernetickej bezpečnosti sa priemerný čas potrebný na vytvorenie funkčného exploitu za posledné desaťročie dramaticky skrátil. Niektoré zraniteľnosti sú zneužívané už za menej než 24 hodín od zverejnenia.

Bezpečnostní lídri upozorňujú, že obrancovia sa čoraz viac ocitajú v reaktívnom režime, kde samotný patch management už nemusí poskytovať dostatočnú ochranu.

Keďže sa zneužívanie tejto zraniteľnosti ďalej rozširuje, odborníci očakávajú v najbližších dňoch výrazný nárast skenovania internetovo dostupných zariadení PAN-OS po celom svete.

Pre organizácie využívajúce GlobalProtect VPN sa okno na preventívne opatrenia môže veľmi rýchlo uzatvárať.

Viac informácií tu:

https://www.linkedin.com/comm/pulse/warning-active-exploitation-palo-alto-vpn-flaw-nakne

https://thehackernews.com/2026/05/pan-os-globalprotect-authentication.html