Palo Alto Networks ha revelado que ha observado una «explotación activa» de una vulnerabilidad PAN-OS recientemente revelada por parte de un atacante desconocido para obtener acceso no autorizado al portal GlobalProtect.
La vulnerabilidad en cuestión es CVE-2026-0257 (puntuación CVSS: 7,8), una falla de omisión de autenticación que afecta los componentes del portal y la puerta de enlace del software PAN-OS y que podría ser explotada por una parte malintencionada para configurar una conexión VPN.
Según la empresa de seguridad de redes, atacantes maliciosos podrían aprovechar esta falla de seguridad para eludir los controles de seguridad e iniciar conexiones VPN.
Esta vulnerabilidad se ha aprovechado en ataques limitados y la primera actividad se observó el 17 de mayo de 2026. Actualmente se desconoce quién está detrás del exploit.
Palo Alto Networks dijo: «En este momento, no hemos observado ninguna acción posterior al acceso ni movimiento lateral». «Sólo un pequeño porcentaje de los dispositivos investigados realmente establecieron una sesión VPN, lo que resultó en un evento de conexión de puerta de enlace».
La compañía también publicó un Indicador de Compromiso (IoC) relacionado con esta actividad.
Dirección IP: 23.128.228(.)6 104.207.144(.)154 146.19.216(.)119 146.19.216(.)120 146.19.216(.)125 179.43.172(.)213 185.195.232(.)139 198.12.106(.)60 202.144.192(.)47 Nombre de host y dirección MAC – aa:bb:cc:dd:ee:ff 00:11:22:33:44:55 WINDOWS-LAPTOP-001 DESKTOP-GP01 GP-CLIENT
Palo Alto Networks también insta a los clientes a buscar en los registros de GlobalProtect eventos de conexión de puerta de enlace exitosos que coincidan con los siguientes valores de configuración del cliente codificados de un exploit de prueba de concepto (PoC):
endpoint_os_version: Microsoft Windows 10 Pro de 64 bits source_user_info.domain: vacío
A fines del mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CSIA) agregó CVE-2026-0257 a su Catálogo de vulnerabilidades explotadas conocidas (KEV) y ordenó a las agencias del Poder Ejecutivo Civil Federal (FCEB) que mitigaran la falla antes del 1 de junio de 2026.
Source link
