La vulnerabilidad se vuelve crítica
Los clientes de Palo Alto Networks se enfrentan a una carrera contra el tiempo tras confirmarse que atacantes están explotando activamente una vulnerabilidad en la VPN GlobalProtect de la compañía. La falla, registrada bajo el identificador CVE-2026-0257, afecta a las implementaciones de PAN-OS que utilizan cookies de anulación de autenticación (authentication override) bajo configuraciones específicas.
Según el análisis de Rapid7, la vulnerabilidad permite que actores no autorizados eludan los protocolos de autenticación y accedan a redes corporativas internas. El problema radica en la forma en que PAN-OS confía en estas cookies: en ciertas configuraciones, los atacantes pueden falsificar sus propias cookies y engañar al firewall para que las acepte como legítimas. El riesgo es especialmente grave para las organizaciones que utilizan el mismo certificado tanto para servicios HTTPS como para las cookies de anulación de autenticación, ya que esto proporciona a los atacantes la información necesaria para generar falsificaciones convincentes.
De riesgo medio a amenaza activa
Palo Alto Networks reveló inicialmente la vulnerabilidad el 13 de mayo. En aquel momento, el fabricante le asignó una calificación de gravedad media, indicando que estaba al tanto de posibles intentos de explotación, pero que no había observado actividad maliciosa confirmada en entornos reales. Esta evaluación ha sido revisada tras obtenerse pruebas de ataques exitosos.
Investigadores de Rapid7 informaron haber observado la explotación exitosa de esta vulnerabilidad en múltiples entornos de clientes desde, al menos, el 17 de mayo. La firma validó la técnica de ataque mediante pruebas de concepto propias, confirmando que los atacantes podían establecer sesiones VPN no autorizadas en sistemas vulnerables. Este acceso no autorizado permite potencialmente a los hackers ingresar a redes corporativas internas sin necesidad de credenciales legítimas.
En una actualización reciente de su aviso de seguridad, Palo Alto Networks reconoció el cambio en el panorama de amenazas y declaró: "Palo Alto Networks tiene conocimiento de intentos limitados de explotación en dispositivos PAN-OS sin parches ni medidas de mitigación aplicadas". El fabricante insta ahora a todos los clientes afectados a priorizar la aplicación de los parches de seguridad para evitar nuevos accesos no autorizados.
Este incidente se produce tras otra crisis de seguridad ocurrida el mes pasado, durante la cual actores respaldados por estados explotaron una falla crítica de ejecución remota de código en el portal de autenticación User-ID de PAN-OS. Debido a la explotación activa de la CVE-2026-0257, se recomienda a los equipos de seguridad tratar esta vulnerabilidad como un riesgo de alta prioridad. Se insta a las organizaciones que operan gateways de GlobalProtect vulnerables a aplicar los parches proporcionados por el fabricante de inmediato para mitigar el riesgo de actividad maliciosa continua.
