Palo Alto GlobalProtect bajo ataque: una vulnerabilidad de omisión de autenticación llega a la lista KEV de CISA
TL;DR
Palo Alto GlobalProtect bajo ataque: una vulnerabilidad de omisión de autenticación llega a la lista KEV de CISA
Palo Alto Networks ha confirmado lo peor: una vulnerabilidad de alta gravedad que permite la omisión de autenticación, registrada como CVE-2026-0257, está siendo explotada activamente. Este fallo no es solo un error teórico; es un agujero directo en los componentes del portal y gateway GlobalProtect de PAN-OS. Para un atacante, la lógica es simple: pueden falsificar cookies de autenticación para entrar directamente por la puerta principal de su VPN sin necesidad de una contraseña.
La situación ha escalado rápidamente. Tras los informes sobre la explotación dirigida, CISA incluyó la vulnerabilidad en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Si utiliza configuraciones de firewall afectadas, considere esto como una señal de alerta. El riesgo de acceso no autorizado a la red es alto y aplicar los parches no es opcional: es la única forma de mantener el perímetro intacto.
La mecánica de la brecha
Entonces, ¿cómo logra un atacante esto? Todo se reduce a una debilidad fundamental en la forma en que PAN-OS maneja las cookies de "Authentication Override" (anulación de autenticación). Cuando esta función específica está habilitada en un portal o gateway de GlobalProtect, el sistema se vuelve susceptible a entradas falsificadas.
Según el aviso de seguridad oficial de Palo Alto Networks, la vulnerabilidad se activa precisamente cuando ese mecanismo de anulación está activo. Es un caso clásico de confiar en los datos incorrectos. Rapid7, que observó la explotación activa de la vulnerabilidad, identificó dos oleadas distintas de ataques: una el 17 de mayo de 2026 y una segunda, más agresiva, el 21 de mayo. No fueron solo sondeos; fueron intentos exitosos de establecer sesiones VPN no autorizadas.
La industria ha tomado nota del peligro. Aunque la evaluación de impacto inicial fue conservadora, la puntuación CVSSv4 actualizada para CVE-2026-0257 se sitúa ahora en 7.8. Es una calificación de alta gravedad que refleja la realidad de la amenaza: es fácil de explotar, no requiere interacción del usuario y está siendo utilizada por adversarios en el mundo real.
¿Está expuesto su entorno?
No todas las implementaciones de PAN-OS están en riesgo. Esta vulnerabilidad está estrictamente vinculada a la configuración de "Authentication Override". Si no tiene esa función habilitada, está a salvo, pero no se fíe solo de mi palabra. Compruebe sus ajustes.
Para ver si su sistema está en riesgo, diríjase a su interfaz de gestión de PAN-OS y siga esta ruta:
- Ruta de navegación: Network > GlobalProtect > Gateways > Agent > Client Settings
- Ajuste objetivo: "Accept cookie for authentication override"
Si esa casilla está marcada, usted es vulnerable. El informe detallado de amenazas de Palo Alto merece una lectura para cualquier equipo de seguridad que intente comprender los patrones de ataque específicos que Unit 42 ha estado rastreando. Es una visión aleccionadora de la rapidez con la que estas omisiones pueden ser utilizadas como armas.
Parches y mitigación
La solución es sencilla, pero conlleva un poco de fricción. Debido a que la vulnerabilidad tiene su origen en la forma en que el firewall maneja las cookies criptográficas, debe romper el ciclo antiguo para comenzar uno nuevo.
| Acción de mitigación | Impacto en los usuarios |
|---|---|
| Aplicar parche de seguridad | Obliga a una reautenticación única para todos los usuarios. |
| Deshabilitar Auth Override | Elimina la vulnerabilidad pero requiere inicio de sesión manual. |
| Actualización de Prisma Access | Gestionado automáticamente por Palo Alto Networks. |
Cuando aplique el parche, el sistema comenzará a generar cookies utilizando una metodología más robusta y segura. ¿El efecto secundario inmediato? Todos los usuarios activos de GlobalProtect serán desconectados y obligados a volver a autenticarse. Es una molestia, sin duda, pero necesaria. Es la única forma de garantizar que cualquier cookie falsificada que circule actualmente quede inutilizada.
Para aquellos que usan Prisma Access, pueden respirar un poco más tranquilos. Palo Alto se encarga del trabajo pesado en su infraestructura gestionada en la nube. Estos entornos se actualizan automáticamente según el programa de mantenimiento estándar, lo que significa que no tiene que mover un dedo.
Mantenerse alerta
El hecho de que esta vulnerabilidad esté siendo explotada activamente es un crudo recordatorio de que los dispositivos perimetrales son la primera línea de defensa y, a menudo, los primeros en ser atacados. Debido a que este fallo permite el acceso sin autenticación, la ventana de oportunidad para un atacante está abierta de par en par hasta que usted la cierre.
Los equipos de seguridad deben revisar sus registros de VPN ahora mismo. ¿Hay patrones de autenticación anómalos? ¿Se están estableciendo sesiones en horas extrañas o desde ubicaciones inesperadas? Si ve algo que no encaja en el patrón, investíguelo de inmediato.
Con el fallo ahora listado oficialmente en el catálogo KEV de CISA, la presión aumenta. Las agencias federales ya tienen un plazo para aplicar el parche, y las organizaciones privadas deberían seguir su ejemplo sin demora. Incluso si no pertenece a un sector regulado, la combinación de explotación activa y la calificación de alta gravedad debería ser suficiente para mover esto a la parte superior de su lista de prioridades.
La transición a un método de generación de cookies más seguro es un paso crítico, pero no es el final de la historia. Vigile de cerca los registros de su gateway GlobalProtect. Incluso después de aplicar el parche, querrá buscar cualquier señal residual de que alguien haya intentado entrar antes de que usted cerrara la puerta. En el mundo de la ciberseguridad, ser proactivo es la única forma de mantenerse a la vanguardia. Mantenga sus sistemas actualizados, sus registros limpios y no asuma que está a salvo solo porque no ha visto una alerta todavía.
