Palo Alto Networks ha advertido que recientemente se ha revelado una falla de seguridad de gravedad media que afecta a PAN-OS y Prisma Access y que está siendo explotada de forma natural.
Esta vulnerabilidad se rastrea como CVE-2026-0257 (puntuación CVSS: 7,8) y se refiere a un caso de omisión de autenticación que puede ser aprovechado por un atacante malintencionado para configurar una conexión VPN.
«Una vulnerabilidad de omisión de autenticación en el portal GlobalProtect y Gateway en el software PAN-OS® de Palo Alto Networks podría permitir a un atacante eludir las restricciones de seguridad y establecer conexiones VPN no autorizadas», dijo Palo Alto Networks en un aviso publicado el 13 de mayo de 2026.
La compañía de seguridad de red dijo que este problema afecta específicamente a los firewalls en los que se configura el portal o puerta de enlace GlobalProtect cuando las cookies de anulación de autenticación están habilitadas y ciertas configuraciones de certificados están presentes.
En una actualización de aviso del 29 de mayo de 2026, Palo Alto Networks dijo que estaba «consciente de intentos de explotación limitados contra dispositivos PAN-OS sin mitigar ni parchear».
El desarrollo se produce después de que Rapid7 revelara que había identificado un exploit exitoso en varios clientes, con el primer esfuerzo que se remonta al 17 de mayo de 2026, seguido de una segunda ola el 21 de mayo. Se cree que ambos conjuntos de exploits son obra del mismo actor de amenazas.
La actividad observada en la segunda ola incluyó autenticación de cookies seguida de asignación de IP de VPN en dos casos, lo que otorgó a los atacantes acceso a las redes internas. El proveedor de ciberseguridad añadió que no se produjo ninguna actividad adicional en el entorno del cliente donde se estableció la sesión VPN.
«La omisión de autenticación en dispositivos VPN empresariales de borde puede tener un impacto significativo en las organizaciones afectadas», dijo Rapid7. «Como resultado, se insta a las organizaciones que ejecutan dispositivos afectados a actualizar urgentemente a los parches proporcionados por los proveedores».
Como mitigación temporal, le recomendamos que deshabilite la función Anulación de autenticación o genere un nuevo certificado para usarlo específicamente para la función Anulación de autenticación.
La explotación de CVE-2026-0257 sigue al informe de Arctic Wolf de que una falla de seguridad crítica que afecta las implementaciones de FortiClient Endpoint Management Server (EMS) (CVE-2026-35616, puntuación CVSS: 9.1) continúa utilizándose como arma y ahora parcheada para entregar malware de robo de credenciales conocido como EKZ Infostealer.
Source link
