Share
## https://sploitus.com/exploit?id=0B69C04C-4A70-59C0-96F2-D663E427F3AF
# ─── CVE-2026-0257 ───
# 🏴 AMN SECURITY 🏴
### مركز أبحاث الأمن السيبراني | Cyber Security Research Center
---
# ⚠️ ثغرة تزوير كوكيز المصادقة في Palo Alto GlobalProtect
### CVE-2026-0257 | CVSS 9.1 | حرجة جداً
---
### 📋 الملخص التنفيذي
ثغرة أمنية حرجة في **Palo Alto Networks PAN-OS** تسمح لمهاجم غير مُصادق بتزوير كوكيز المصادقة (Authentication Override Cookies) في **GlobalProtect** وإنشاء اتصالات VPN. تم إدراج الثغرة في **CISA KEV** (Known Exploited Vulnerabilities) بتاريخ 29 مايو 2026 بعد رصد استغلالها الفعلي في الهجمات.
---
### 🔍 تفاصيل الثغرة
| العنصر | التفاصيل |
|--------|----------|
| **CVE** | CVE-2026-0257 |
| **CVSS v4** | 9.1 (Critical) |
| **النوع** | Authentication Bypass — Cookie Forgery |
| **CISA KEV** | ✅ مضافة (29 مايو 2026) |
| **أول استغلال** | 17 مايو 2026 |
| **المنتج** | Palo Alto PAN-OS / Prisma Access |
#### المنتجات المتأثرة
| المنتج | الإصدارات المتأثرة |
|--------|-------------------|
| PAN-OS 12.1 | **قبل** 12.1.4-h6 |
| PAN-OS 11.2 | **قبل** 11.2.4-h17 |
| PAN-OS 11.1 | **قبل** 11.1.4-h33 |
| PAN-OS 10.2 | **قبل** 10.2.7-h34 |
| Prisma Access 11.2 | **قبل** 11.2.7-h13 |
| Prisma Access 10.2 | **قبل** 10.2.10-h36 |
---
### 💥 آلية الهجوم
```
GlobalProtect Gateway HTTPS Certificate
│
▼
استخراج المفتاح العام (Public Key)
من شهادة TLS
│
▼
تزوير كوكيز Auth Override
مشفرة بالمفتاح العام
│
▼
إرسال الكوكيز المزورة إلى
/ssl-vpn/login.esp
│
▼
✅ إذا تطابقت الشهادة ← قبول الكوكيز
🔓 وصول VPN كامل غير مُصرّح به
```
---
### 🧪 استخدام الأداة
```bash
# فحص هدف واحد
python3 exploit_poc.py --target vpn.target.com
# فحص مع منفذ مخصص
python3 exploit_poc.py --target vpn.target.com --port 8443
# تزوير كوكيز لمستخدم محدد
python3 exploit_poc.py --target vpn.target.com --user admin
# فحص أهداف متعددة من ملف
python3 exploit_poc.py --target-file targets.txt
# وضع تفصيلي
python3 exploit_poc.py --target vpn.target.com --verbose
```
#### الخيارات
| الخيار | الوصف | الافتراضي |
|--------|-------|-----------|
| `--target` | الهدف (IP أو Hostname) | - |
| `--target-file` | ملف بالأهداف (ip:port لكل سطر) | - |
| `--user` | اسم المستخدم | admin |
| `--domain` | المجال | (فارغ) |
| `--client-os` | نظام التشغيل | Windows |
| `--verbose` | عرض تفصيلي | - |
---
### 🛡️ الإجراءات العلاجية
1. **الترقية الفورية** إلى الإصدارات المُصحَّحة (أنظر الجدول أعلاه)
2. **تعطيل** ميزة Authentication Override في إعدادات GlobalProtect
3. **إنشاء شهادة جديدة** مخصصة لتشفير كوكيز Auth Override (لا تُ reused مع HTTPS)
4. **مراقبة السجلات** للكشف عن محاولات الاستغلال
#### كشف الهجوم
سجلات GlobalProtect可疑ة:
```
GLOBALPROTECT,0,2817,...,gateway-auth,login,Cookie,,admin,...,GP-CLIENT,...,6.0.0,,Linux,...,success
```
---
### 📚 المراجع
- **Palo Alto Advisory**: https://security.paloaltonetworks.com/CVE-2026-0257
- **Rapid7 Analysis**: https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os/
- **CISA KEV**: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- **AMN SECURITY Research**: GlobalProtect Auth Bypass Analysis
---
### 👥 فريق AMN SECURITY
| العضو | التخصص |
|-------|--------|
| AMN Research Team | تحليل الثغرة |
| AMN Exploitation Team | تطوير الإكسبلويت |
| AMN Defense Team | الإجراءات العلاجية |
---
---
# ⚠️ Palo Alto PAN-OS GlobalProtect Auth Override Cookie Forgery
### CVE-2026-0257 | CVSS 9.1 | Critical
---
### 📋 Executive Summary
A critical authentication bypass vulnerability in **Palo Alto Networks PAN-OS** and **Prisma Access** allowing remote unauthenticated attackers to forge GlobalProtect authentication override cookies and establish VPN connections when specific configurations are present. **CISA added this to KEV on May 29, 2026** after first observed exploitation on May 17, 2026.
---
### 🔍 Vulnerability Details
| Field | Value |
|-------|-------|
| **CVE** | CVE-2026-0257 |
| **CVSS v4** | 9.1 (Critical) |
| **CWE** | CWE-294: Authentication Bypass by Capture-replay |
| **CISA KEV** | ✅ Added May 29, 2026 |
| **First Exploited** | May 17, 2026 |
| **Product** | PAN-OS / Prisma Access |
#### How It Works
The vulnerability exploits the authentication override feature in GlobalProtect, which issues cookies as bearer-like tokens. The exploit works by:
1. Retrieving the certificate chain from the GlobalProtect portal/gateway HTTPS service
2. Iterating through each certificate's public key
3. Forging an authentication override cookie encrypted with each public key
4. Testing the forged cookie against `/ssl-vpn/login.esp`
5. If the appliance reused the cookie encryption certificate with HTTPS, the forged cookie is accepted
#### Affected Products
| Product | Affected Versions | Fixed Versions |
|---------|------------------|----------------|
| PAN-OS 12.1 | = 12.1.4-h6 |
| PAN-OS 11.2 | = 11.2.4-h17 |
| PAN-OS 11.1 | = 11.1.4-h33 |
| PAN-OS 10.2 | = 10.2.7-h34 |
| Prisma Access 11.2 | = 11.2.7-h13 |
---
### 🧪 Usage
```bash
# Single target
python3 exploit_poc.py --target vpn.target.com
# Custom port
python3 exploit_poc.py --target vpn.target.com --port 8443
# Different username
python3 exploit_poc.py --target vpn.target.com --user admin
# Multiple targets from file
python3 exploit_poc.py --target-file targets.txt
# Verbose output
python3 exploit_poc.py --target vpn.target.com --verbose
```
---
### 🛡️ Mitigation
1. **Upgrade** to patched versions immediately
2. **Disable** authentication override feature in GlobalProtect
3. **Generate dedicated certificate** for auth override cookies (don't reuse HTTPS cert)
4. **Monitor logs** for suspicious cookie-based authentication
---
### 📚 References
- **Palo Alto Advisory**: https://security.paloaltonetworks.com/CVE-2026-0257
- **Rapid7 Analysis**: https://www.rapid7.com/blog/
- **CISA KEV**: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- **AMN SECURITY**: GlobalProtect Auth Bypass PoC
---
## Connect with AMN SECURITY — تابعنا
[](https://amn.amnoffsec.workers.dev/)
[](https://www.instagram.com/ixctw)
[](mailto:ayman.mahmoudoffsec@gmail.com)
---
### ⚖️ Disclaimer
This tool is for **authorized security testing and educational purposes only**. Unauthorized use is illegal. The authors and AMN SECURITY assume no liability for misuse.
---
**🏴 AMN SECURITY** — Enterprise Offensive Security