Palo Alto Networks emite un parche de seguridad urgente tras la explotación activa de una vulnerabilidad de omisión de autenticación
TL;DR
Palo Alto Networks emite un parche de seguridad urgente tras la explotación activa de una vulnerabilidad de omisión de autenticación
Imagen cortesía de The Hacker News
Si utiliza infraestructura de Palo Alto Networks, detenga lo que esté haciendo y revise sus registros de parches. La compañía acaba de lanzar actualizaciones de seguridad críticas para PAN-OS y Prisma Access, y por una vez, no se trata solo de mantenimiento rutinario. Estamos ante una explotación activa en el mundo real.
La situación se centra en dos problemas principales: una grave omisión de autenticación (CVE-2026-0257) que permite a los atacantes entrar en su VPN, y una vulnerabilidad en la interfaz de gestión (CVE-2025-0108) que los hackers están encadenando con otros fallos para obtener acceso. Palo Alto Networks ha confirmado que, aunque la explotación es actualmente limitada, está ocurriendo. Los dispositivos sin parches son, esencialmente, blancos fáciles.
El problema de la VPN: CVE-2026-0257
Hablemos primero del problema más grave. CVE-2026-0257 es una pesadilla con una puntuación CVSS de 7.8 para cualquier empresa que dependa de GlobalProtect para el acceso remoto. En esencia, este fallo permite que un atacante no autenticado omita las comprobaciones de seguridad e inicie una sesión VPN. Es el equivalente digital a que alguien entre por la puerta principal porque la cerradura se instaló al revés.
La vulnerabilidad afecta específicamente a configuraciones donde el portal o gateway de GlobalProtect está activo y se cumplen ciertas condiciones relacionadas con la configuración de certificados y las cookies de anulación de autenticación. Según lo informado por The Hacker News, Palo Alto Networks señaló este problema por primera vez el 13 de mayo de 2026. Para el 29 de mayo, se confirmaron los primeros intentos de explotación. Si aún no ha aplicado el parche, se ha quedado atrás.
Riesgos en la interfaz de gestión: CVE-2025-0108
Aunque la omisión de la VPN pueda acaparar los titulares, no ignore CVE-2025-0108. Es un problema de gravedad media (CVSS-BT 5.1) que afecta a la interfaz web de gestión de PAN-OS, pero no deje que esa calificación de "medio" le engañe.
El fallo permite que un atacante no autenticado con acceso de red a la interfaz de gestión ejecute scripts PHP específicos. El peligro real aquí no es la vulnerabilidad de forma aislada, sino cómo los atacantes la están utilizando. Hemos visto pruebas de actores de amenazas encadenando este fallo con dos vulnerabilidades anteriores (CVE-2024-9474 y CVE-2025-0111) para escalar su impacto. Es un escenario clásico donde varios fallos menores se suman para lograr un compromiso total del sistema.
Resumen del impacto de las vulnerabilidades
| ID de vulnerabilidad | Impacto principal | Puntuación CVSS |
|---|---|---|
| CVE-2026-0257 | Acceso no autorizado a VPN | 7.8 |
| CVE-2025-0108 | Omisión de la interfaz de gestión | 5.1 |
Cómo asegurar su entorno
La aplicación de parches es el primer paso innegociable. Si no cuenta con la última versión de PAN-OS o Prisma Access, está dejando la puerta abierta. Pero debido a que estas vulnerabilidades se están utilizando activamente, debe ir más allá de simplemente presionar el botón de "actualizar". Debe reforzar su configuración.
- Actualice de inmediato: Lleve sus instancias a las últimas versiones proporcionadas por el proveedor. No existe una solución alternativa para el fallo de código subyacente.
- Restrinja el acceso de gestión: Para CVE-2025-0108, la mejor defensa es evitar que la interfaz de gestión sea accesible desde la internet pública. Restrinja el acceso solo a direcciones IP internas de confianza. Si necesita un recordatorio sobre cómo hacerlo, consulte la guía oficial sobre cómo asegurar el acceso de gestión de Palo Alto.
- Audite GlobalProtect: Revise minuciosamente la configuración de su portal y gateway. Asegúrese de que sus cookies de anulación de autenticación sigan las mejores prácticas de seguridad y que las configuraciones de sus certificados no estén creando un vector de omisión involuntario.
- Vigile los registros: Su equipo de seguridad debe buscar llamadas inusuales a scripts PHP en la interfaz de gestión. Si aún tiene vulnerabilidades heredadas como CVE-2024-9474 o CVE-2025-0111 en su entorno, es un objetivo principal para estos ataques encadenados.
El marco CVSS v4.0 destaca lo crítico que es esto. Cuando se confirma la explotación activa, el tiempo corre en su contra. La combinación de acceso no autenticado y la capacidad de ejecutar scripts en las interfaces de gestión es una receta para el colapso total de la infraestructura.
Manténgase atento al portal de seguridad de Palo Alto Networks. Esta es una situación dinámica y, a medida que continúe la investigación sobre estas campañas, probablemente surgirá más orientación. No espere a recibir una notificación de brecha para actuar: asegure su perímetro ahora.
