Omisión de vulnerabilidad de autenticación PAN-OS de Palo Alto Networks explotada en estado salvaje

La vulnerabilidad de omisión de autenticación de Palo Alto Networks, CVE-2026-0257, que afecta a PAN-OS y Prisma Access, está siendo explotada activamente en la naturaleza, y CISA la agregó al Catálogo de Vulnerabilidades Explotadas Conocidas (KEV) el 29 de mayo de 2026. Palo Alto Networks publicó su aviso de seguridad el 13 de mayo de 2026, advirtiendo que CVE-2026-0257 permite que un atacante no autenticado falsifique cookies de autenticación y establezca conexiones VPN no autorizadas a través de la puerta de enlace GlobalProtect.

La vulnerabilidad existe en una función no habilitada de forma predeterminada llamada "anulación de autenticación", que permite a los portales y puertas de enlace de GlobalProtect emitir cookies de sesión a usuarios autenticados, de forma similar a un token de acceso, evitando que los usuarios tengan que volver a autenticarse en cada sesión. La falla solo se activa cuando el certificado utilizado para cifrar y descifrar estas cookies de anulación de autenticación se comparte con otra función, como el servicio HTTPS del portal o de la puerta de enlace. El 18 de mayo, Rapid7 detectó autenticaciones sospechosas basadas en cookies en cuentas de administradores locales en múltiples entornos de clientes. Durante esta campaña, algunas víctimas recibieron asignaciones completas de direcciones IP de VPN tras la autenticación mediante cookies, lo que otorgó a los atacantes acceso directo a las redes internas.

Las organizaciones deben tomar las siguientes medidas de inmediato: actualizar todas las instancias afectadas de PAN-OS y Prisma Access a las versiones corregidas por el proveedor; deshabilitar la función de anulación de autenticación si no es necesaria para las operaciones; generar un certificado dedicado exclusivamente al cifrado de las cookies de anulación de autenticación y no compartirlo con el servicio HTTPS; buscar los IoC mencionados anteriormente en los registros de autenticación de VPN y GlobalProtect; e implementar las reglas de detección disponibles para InsightIDR/MDR, incluida “Autenticación sospechosa: autenticación mediante cookies de Palo Alto GlobalProtect en una cuenta de administrador local”. A pesar de su puntuación CVSS v4 moderada, Rapid7 insta a las organizaciones a tratar CVE-2026-0257 como una vulnerabilidad de prioridad crítica. La publicación "La vulnerabilidad de omisión de autenticación de PAN-OS de Palo Alto Networks está siendo explotada activamente" apareció por primera vez en Cyber Security News.

Consultar publicación original ↗