Önde gelen bir siber güvenlik şirketi olan Palo Alto Networks, müşterilerine geçtiğimiz ay yamaladığı bir üründeki yüksek önem dereceli CVE'nin saldırganlar tarafından aktif olarak istismar edildiği konusunda uyarıda bulundu. CVE-2026-0257, Palo Alto Networks’ün PAN-OS yazılımının GlobalProtect portal ve ağ geçidinde bulunan bir kimlik doğrulama atlatma güvenlik açığı olarak tanımlandı. Adından da anlaşılacağı gibi, bu açık bir saldırganın güvenlik kısıtlamalarını aşarak yetkisiz bir VPN bağlantısı kurmasına olanak tanıyabiliyor.
Güvenlik açığına 7.8 CVSS puanı verildi. Güncelleme 13 Mayıs'ta yayınlanmış olmasına rağmen, Palo Alto Cuma günü yaptığı açıklamada, 'herhangi bir hafifletme uygulanmamış, yamasız PAN-OS cihazlarına yönelik sınırlı sayıda istismar girişiminin farkına varıldığını' belirtti. Açık başlangıçta orta önem dereceli olarak değerlendirilmişti çünkü yalnızca GlobalProtect portal veya ağ geçidi yapılandırmasında 'kimlik doğrulama geçersiz kılma çerezleri etkinleştirildiğinde ve belirli bir sertifika yapılandırması mevcut olduğunda' etkili oluyordu. Ancak son günlerde birden fazla istismar girişiminin ardından bu derece 'yüksek' olarak güncellendi.
Rapid7, kuruluşları bu güvenlik açığını 'kritik' olarak ele almaya çağırdı ve aynı aktör tarafından 18 ve 21 Mayıs'ta başlayan iki dalga halinde istismar edildiğini söyledi. Şirket, uçta bulunan bir VPN cihazındaki kimlik doğrulama atlatma zaafiyetinin kurumsal müşteriler üzerinde büyük bir etki yaratabileceği uyarısında bulundu. Rapid7, 'Çerez kimlik doğrulamasının ardından VPN IP ataması gözlemledik ve bu, saldırganın iç ağa erişmesine olanak sağladı. Şu anda, VPN atamasının neden yalnızca istismar edilen müşterilerin bir alt kümesinde gerçekleştiğini doğrulayamıyoruz' dedi.
GlobalProtect VPN kullanıcılarının derhal yama yapmaları öneriliyor. Yama yapılamıyorsa, Palo Alto Networks iki olası hafifletme yöntemi sıraladı: GlobalProtect portal ve ağ geçidi yapılandırmasında kimlik doğrulama geçersiz kılmayı devre dışı bırakmak ve yalnızca kimlik doğrulama geçersiz kılma çerezleri için yeni bir sertifika oluşturup güvenli bir şekilde saklamak. ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), CVE-2026-0257'yi Bilinen İstismar Edilen Güvenlik Açıkları (KEV) Kataloğu'na ekleyerek federal sivil kurumların bu açığı 1 Haziran'a kadar yamalamasını zorunlu kıldı.