Share
## https://sploitus.com/exploit?id=0B69C04C-4A70-59C0-96F2-D663E427F3AF
# ─── CVE-2026-0257 ───








# 🏴 AMN SECURITY 🏴

### مركز أبحاث الأمن السيبراني | Cyber Security Research Center

---











# ⚠️ ثغرة تزوير كوكيز المصادقة في Palo Alto GlobalProtect
### CVE-2026-0257 | CVSS 9.1 | حرجة جداً

---

### 📋 الملخص التنفيذي

ثغرة أمنية حرجة في **Palo Alto Networks PAN-OS** تسمح لمهاجم غير مُصادق بتزوير كوكيز المصادقة (Authentication Override Cookies) في **GlobalProtect** وإنشاء اتصالات VPN. تم إدراج الثغرة في **CISA KEV** (Known Exploited Vulnerabilities) بتاريخ 29 مايو 2026 بعد رصد استغلالها الفعلي في الهجمات.

---

### 🔍 تفاصيل الثغرة

| العنصر | التفاصيل |
|--------|----------|
| **CVE** | CVE-2026-0257 |
| **CVSS v4** | 9.1 (Critical) |
| **النوع** | Authentication Bypass — Cookie Forgery |
| **CISA KEV** | ✅ مضافة (29 مايو 2026) |
| **أول استغلال** | 17 مايو 2026 |
| **المنتج** | Palo Alto PAN-OS / Prisma Access |

#### المنتجات المتأثرة

| المنتج | الإصدارات المتأثرة |
|--------|-------------------|
| PAN-OS 12.1 | **قبل** 12.1.4-h6 |
| PAN-OS 11.2 | **قبل** 11.2.4-h17 |
| PAN-OS 11.1 | **قبل** 11.1.4-h33 |
| PAN-OS 10.2 | **قبل** 10.2.7-h34 |
| Prisma Access 11.2 | **قبل** 11.2.7-h13 |
| Prisma Access 10.2 | **قبل** 10.2.10-h36 |

---

### 💥 آلية الهجوم

```
GlobalProtect Gateway HTTPS Certificate
                │
                ▼
    استخراج المفتاح العام (Public Key)
    من شهادة TLS
                │
                ▼
    تزوير كوكيز Auth Override
    مشفرة بالمفتاح العام
                │
                ▼
    إرسال الكوكيز المزورة إلى
    /ssl-vpn/login.esp
                │
                ▼
    ✅ إذا تطابقت الشهادة ← قبول الكوكيز
    🔓 وصول VPN كامل غير مُصرّح به
```

---

### 🧪 استخدام الأداة

```bash
# فحص هدف واحد
python3 exploit_poc.py --target vpn.target.com

# فحص مع منفذ مخصص
python3 exploit_poc.py --target vpn.target.com --port 8443

# تزوير كوكيز لمستخدم محدد
python3 exploit_poc.py --target vpn.target.com --user admin

# فحص أهداف متعددة من ملف
python3 exploit_poc.py --target-file targets.txt

# وضع تفصيلي
python3 exploit_poc.py --target vpn.target.com --verbose
```

#### الخيارات

| الخيار | الوصف | الافتراضي |
|--------|-------|-----------|
| `--target` | الهدف (IP أو Hostname) | - |
| `--target-file` | ملف بالأهداف (ip:port لكل سطر) | - |
| `--user` | اسم المستخدم | admin |
| `--domain` | المجال | (فارغ) |
| `--client-os` | نظام التشغيل | Windows |
| `--verbose` | عرض تفصيلي | - |

---

### 🛡️ الإجراءات العلاجية

1. **الترقية الفورية** إلى الإصدارات المُصحَّحة (أنظر الجدول أعلاه)
2. **تعطيل** ميزة Authentication Override في إعدادات GlobalProtect
3. **إنشاء شهادة جديدة** مخصصة لتشفير كوكيز Auth Override (لا تُ reused مع HTTPS)
4. **مراقبة السجلات** للكشف عن محاولات الاستغلال

#### كشف الهجوم

سجلات GlobalProtect可疑ة:
```
GLOBALPROTECT,0,2817,...,gateway-auth,login,Cookie,,admin,...,GP-CLIENT,...,6.0.0,,Linux,...,success
```

---

### 📚 المراجع

- **Palo Alto Advisory**: https://security.paloaltonetworks.com/CVE-2026-0257
- **Rapid7 Analysis**: https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os/
- **CISA KEV**: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- **AMN SECURITY Research**: GlobalProtect Auth Bypass Analysis

---

### 👥 فريق AMN SECURITY

| العضو | التخصص |
|-------|--------|
| AMN Research Team | تحليل الثغرة |
| AMN Exploitation Team | تطوير الإكسبلويت |
| AMN Defense Team | الإجراءات العلاجية |

---









---

# ⚠️ Palo Alto PAN-OS GlobalProtect Auth Override Cookie Forgery
### CVE-2026-0257 | CVSS 9.1 | Critical

---

### 📋 Executive Summary

A critical authentication bypass vulnerability in **Palo Alto Networks PAN-OS** and **Prisma Access** allowing remote unauthenticated attackers to forge GlobalProtect authentication override cookies and establish VPN connections when specific configurations are present. **CISA added this to KEV on May 29, 2026** after first observed exploitation on May 17, 2026.

---

### 🔍 Vulnerability Details

| Field | Value |
|-------|-------|
| **CVE** | CVE-2026-0257 |
| **CVSS v4** | 9.1 (Critical) |
| **CWE** | CWE-294: Authentication Bypass by Capture-replay |
| **CISA KEV** | ✅ Added May 29, 2026 |
| **First Exploited** | May 17, 2026 |
| **Product** | PAN-OS / Prisma Access |

#### How It Works

The vulnerability exploits the authentication override feature in GlobalProtect, which issues cookies as bearer-like tokens. The exploit works by:

1. Retrieving the certificate chain from the GlobalProtect portal/gateway HTTPS service
2. Iterating through each certificate's public key
3. Forging an authentication override cookie encrypted with each public key
4. Testing the forged cookie against `/ssl-vpn/login.esp`
5. If the appliance reused the cookie encryption certificate with HTTPS, the forged cookie is accepted

#### Affected Products

| Product | Affected Versions | Fixed Versions |
|---------|------------------|----------------|
| PAN-OS 12.1 | = 12.1.4-h6 |
| PAN-OS 11.2 | = 11.2.4-h17 |
| PAN-OS 11.1 | = 11.1.4-h33 |
| PAN-OS 10.2 | = 10.2.7-h34 |
| Prisma Access 11.2 | = 11.2.7-h13 |

---

### 🧪 Usage

```bash
# Single target
python3 exploit_poc.py --target vpn.target.com

# Custom port
python3 exploit_poc.py --target vpn.target.com --port 8443

# Different username
python3 exploit_poc.py --target vpn.target.com --user admin

# Multiple targets from file
python3 exploit_poc.py --target-file targets.txt

# Verbose output
python3 exploit_poc.py --target vpn.target.com --verbose
```

---

### 🛡️ Mitigation

1. **Upgrade** to patched versions immediately
2. **Disable** authentication override feature in GlobalProtect
3. **Generate dedicated certificate** for auth override cookies (don't reuse HTTPS cert)
4. **Monitor logs** for suspicious cookie-based authentication

---

### 📚 References

- **Palo Alto Advisory**: https://security.paloaltonetworks.com/CVE-2026-0257
- **Rapid7 Analysis**: https://www.rapid7.com/blog/
- **CISA KEV**: https://www.cisa.gov/known-exploited-vulnerabilities-catalog
- **AMN SECURITY**: GlobalProtect Auth Bypass PoC

---

## Connect with AMN SECURITY — تابعنا

[![Website](https://img.shields.io/badge/Website-amn.amnoffsec.workers.dev-00FF00?style=for-the-badge&logo=googlechrome&logoColor=white)](https://amn.amnoffsec.workers.dev/)
[![Instagram](https://img.shields.io/badge/Instagram-@ixctw-E4405F?style=for-the-badge&logo=instagram&logoColor=white)](https://www.instagram.com/ixctw)
[![Email](https://img.shields.io/badge/Email-ayman.mahmoudoffsec%40gmail.com-D14836?style=for-the-badge&logo=gmail&logoColor=white)](mailto:ayman.mahmoudoffsec@gmail.com)

---

### ⚖️ Disclaimer

This tool is for **authorized security testing and educational purposes only**. Unauthorized use is illegal. The authors and AMN SECURITY assume no liability for misuse.

---



**🏴 AMN SECURITY** — Enterprise Offensive Security