Palo Alto Networks dice que la falla de PAN-OS GlobalProtect se está explotando activamente
Active attacks against enterprise VPNs
Palo Alto Networks está advirtiendo que atacantes están explotando activamente una vulnerabilidad de bypass de autenticación en PAN-OS GlobalProtect que puede permitirles establecer conexiones VPN no autorizadas en dispositivos corporativos.
La falla, rastreada como CVE-2026-0257, fue parcheada a principios de este mes. Palo Alto inicialmente la calificó como de severidad Media, indicando que la explotación requería que los dispositivos estuvieran configurados con cookies de anulación de autenticación habilitadas y una configuración específica de certificados. El viernes, la compañía revisó su aviso, señalando que había tenido conocimiento de intentos de explotación limitados contra dispositivos PAN-OS sin parchear y sin mitigaciones, y elevó el asunto a severidad Alta.
"GlobalProtect portal and gateway of Palo Alto Networks PAN-OS software allows the attacker to bypass security restrictions and establish an unauthorized VPN connection," dijo la compañía en su aviso.
La actualización sigue a una advertencia separada de Rapid7, que dijo haber observado explotación exitosa entre numerosos clientes a partir del 17 de mayo. Rapid7 indicó que no vio evidencia de movimientos laterales exitosos desde los dispositivos afectados, pero señaló que la vulnerabilidad fue añadida al catálogo de Vulnerabilidades Conocidas Explotadas de CISA el 29 de mayo de 2026.
Según Rapid7, los ataques usaron cookies de anulación de autenticación falsificadas para autenticarse en las puertas de enlace GlobalProtect y dirigirse a la cuenta de administrador local. La compañía dijo que vio por primera vez explotación el 18 de mayo desde infraestructura alojada por Vultr, seguida por una segunda ola el 21 de mayo originada en Dromatics Systems.
En algunos casos, los atacantes pudieron conectarse a dispositivos a través de la VPN usando cookies falsificadas y obtener acceso a redes internas. En otros incidentes, el appliance aceptó la cookie falsificada pero no se pudo establecer una sesión VPN completa.
Rapid7 dijo que los dispositivos afectados tenían las cookies de anulación de autenticación de GlobalProtect habilitadas y estaban configurados de una manera que permitía a los atacantes forjar cookies válidas. El problema surge del proceso de validación de PAN-OS: el dispositivo VPN descifra la cookie con una clave privada configurada y confía en el contenido descifrado sin realizar verificación de firma. Si el mismo certificado se utiliza tanto para los servicios HTTPS como para las cookies de anulación de autenticación, un atacante puede obtener la clave pública a través de la sesión HTTPS y usarla para crear una cookie que el dispositivo acepta como legítima.
Sources:
Doppler VPN: 6 ubicaciones de servidores, protocolo VLESS, sin registros. Comienza gratis.