Palo Alto Networks udostępniło poprawki bezpieczeństwa dla poważnej luki wpływającej na GlobalProtect Gateway i Portal. Firma informuje, że istnieje dowód koncepcji (proof-of-concept, PoC) umożliwiający wykorzystanie tego problemu.
Luka została oznaczona jako CVE-2026-0227 i oceniona z wagą CVSS 7.7. Opisano ją jako błąd prowadzący do odmowy usługi (DoS), wynikający z nieprawidłowej obsługi wyjątkowych warunków — klasyfikowanej jako CWE-754 (improper check for exceptional conditions). W praktyce oznacza to, że atakujący, bez uprzedniej autoryzacji, może doprowadzić urządzenie do stanu, w którym przestaje normalnie obsługiwać ruch sieciowy.
W komunikacie producent wyjaśnia: „Luka w oprogramowaniu PAN-OS pozwala nieautoryzowanemu atakującemu spowodować odmowę usługi (DoS) zapory. Powtarzane próby wywołania tego problemu skutkują przejściem zapory w tryb konserwacyjny.” Zgłoszenie i odkrycie problemu pochodzi od zewnętrznego, anonimowego badacza bezpieczeństwa.
Na problem narażone są konkretne wersje oprogramowania PAN-OS i usługi Prisma Access. Lista dotkniętych wydań wygląda następująco:
- PAN-OS 12.1 < 12.1.3-h3, < 12.1.4
- PAN-OS 11.2 < 11.2.4-h15, < 11.2.7-h8, < 11.2.10-h2
- PAN-OS 11.1 < 11.1.4-h27, < 11.1.6-h23, < 11.1.10-h9, < 11.1.13
- PAN-OS 10.2 < 10.2.7-h32, < 10.2.10-h30, < 10.2.13-h18, < 10.2.16-h6, < 10.2.18-h1
- PAN-OS 10.1 < 10.1.14-h20
- Prisma Access 11.2 < 11.2.7-h8
- Prisma Access 10.2 < 10.2.10-h29
Palo Alto Networks doprecyzowało, że luka dotyczy wyłącznie konfiguracji PAN-OS NGFW lub Prisma Access z włączonym GlobalProtect gateway lub portal. Chmurowy Next-Generation Firewall (Cloud NGFW) nie jest podatny na ten problem. Producent nie wskazał dostępnych obejść technicznych, które mogłyby tymczasowo złagodzić ryzyko.
Na chwilę obecną nie ma potwierdzeń, że luka była wykorzystywana w aktywnych atakach, jednak warto pamiętać, że w ciągu ostatniego roku obserwowano wzmożone aktywności skanujące wymierzone w odsłonięte bramy GlobalProtect. W takim kontekście istotne jest jak najszybsze zastosowanie udostępnionych poprawek.
Zalecenie jest proste: administratorzy systemów korzystających z wymienionych wersji PAN-OS lub Prisma Access powinni jak najszybciej zainstalować oficjalne aktualizacje dostarczone przez dostawcę, aby zamknąć opisane wektory ataku i chronić urządzenia przed możliwością wystąpienia odmowy usługi.