Palo Alto Networks emite parche de seguridad urgente tras la explotación activa de una vulnerabilidad en GlobalProtect VPN
TL;DR
Palo Alto Networks emite parche de seguridad urgente tras la explotación activa de una vulnerabilidad en GlobalProtect VPN
Imagen cortesía de The Hacker News
Palo Alto Networks acaba de lanzar un parche de emergencia para una grave vulnerabilidad de omisión de autenticación, registrada como CVE-2026-0257. Este fallo afecta a los componentes del portal y gateway de GlobalProtect en su software PAN-OS, y no es algo que deba tomarse a la ligera. En resumen, permite que atacantes no autenticados eludan los protocolos de inicio de sesión estándar para establecer conexiones VPN no autorizadas. Para cualquier empresa que dependa de estos gateways, esto representa un problema de seguridad crítico.
La situación escaló rápidamente. Lo que comenzó como un informe de vulnerabilidad estándar se convirtió en un incidente de alta prioridad una vez que los investigadores confirmaron que actores malintencionados ya la estaban utilizando en entornos reales. Debido a esto, la Agencia de Ciberseguridad y Seguridad de Infraestructura (CISA) la ha añadido oficialmente a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Si aún no has aplicado el parche, considera esto como una señal de alerta urgente.
Cómo funciona el exploit
La raíz del problema reside en cómo PAN-OS gestiona las cookies de anulación de autenticación (authentication override). Si tienes configurado tu portal o gateway de GlobalProtect para aceptar estas cookies —una función de conveniencia común—, el sistema no valida correctamente la sesión. Básicamente, deja la puerta abierta. Esto es particularmente peligroso en entornos donde el Servicio de Autenticación en la Nube (CAS) está desactivado, ya que obliga al sistema a depender de un mecanismo interno que actualmente es vulnerable a la manipulación.
La mecánica técnica es sorprendentemente sencilla: al crear solicitudes específicas, un atacante puede eludir por completo la necesidad de credenciales válidas. Efectivamente, se hacen pasar por un usuario legítimo. Investigadores de Rapid7 detectaron esta actividad por primera vez el 17 de mayo de 2026. Los sondeos iniciales se rastrearon hasta infraestructura alojada en proveedores como Vultr y Dromatics Systems, lo que nos indica que no fue un fallo aleatorio, sino un esfuerzo coordinado para buscar gateways VPN expuestos.
Aunque Palo Alto Networks inicialmente calificó el riesgo como moderado, la realidad de la explotación activa los obligó a elevar la puntuación CVSSv4 a 7.8. Esa es una calificación de severidad "Alta", y tiene en cuenta lo fácil que es ejecutarlo y cuánto daño puede causar un atacante una vez que está dentro de tu túnel.
¿Es vulnerable tu infraestructura?
No todas las implementaciones de PAN-OS están en riesgo. El problema afecta específicamente a los sistemas donde la "anulación de autenticación" está habilitada, una función diseñada para mantener a los usuarios conectados sin obligarlos a iniciar sesión cada vez que su sesión expira.
Para saber si estás en riesgo, revisa tu interfaz de administración:
- Ve a la pestaña Network y selecciona GlobalProtect.
- Revisa la configuración de tus Gateways y Agent.
- Busca la casilla "Accept cookie for authentication override".
- Verifica si tu Servicio de Autenticación en la Nube (CAS) está desactivado. Si esa casilla está marcada y el CAS está desactivado, es probable que estés expuesto.
Parcheo y mitigación
Palo Alto Networks publicó el aviso el 13 de mayo de 2026 y confirmó la explotación activa a finales de ese mes. La única solución real es aplicar los parches suministrados por el proveedor. Debido a que se trata de un fallo de lógica en cómo se generan y validan las cookies, la actualización cambia fundamentalmente la forma en que el sistema maneja las sesiones.
| Acción | Resultado |
|---|---|
| Aplicar parche de seguridad | Corrige la lógica de omisión de autenticación. |
| Re-autenticación | Fuerza un inicio de sesión único para todos los usuarios de GlobalProtect. |
| Prisma Access | Actualizado automáticamente mediante el programa de mantenimiento estándar. |
La aplicación del parche forzará una re-autenticación única para todos tus usuarios. Es una molestia, claro, pero es necesaria. El parche obliga al sistema a regenerar las cookies de autenticación utilizando un método criptográfico más seguro, lo que elimina efectivamente cualquier sesión existente potencialmente comprometida.
Para aquellos que utilizan Prisma Access, están de suerte: Palo Alto Networks se encarga de las actualizaciones automáticamente. Solo mantente atento a tu consola de administración para cualquier notificación de mantenimiento.
El panorama general
El cambio de un error teórico a uno explotado activamente lo cambia todo. Los atacantes están utilizando proveedores de alojamiento comercial para escalar sus esfuerzos, lo que significa que son agresivos y cuentan con buenos recursos.
Los equipos de seguridad deben estar atentos. Revisa tus registros en busca de patrones de autenticación extraños o conexiones VPN desde rangos de IP que no tengan sentido. Dado que este exploit elude la pantalla de inicio de sesión, es posible que tus alertas estándar basadas en credenciales no se activen. Debes buscar sesiones VPN exitosas que carezcan de un evento de inicio de sesión correspondiente; esa es la prueba definitiva.
Como señaló The Hacker News, el peligro aquí es que, una vez que un atacante supera el portal, se convierte esencialmente en un usuario de confianza. Pueden escanear tu red interna, moverse lateralmente y desplegar cargas útiles sin que nadie se dé cuenta.
Si no puedes aplicar el parche de inmediato, hazte un favor y desactiva la función "Accept cookie for authentication override". Tus usuarios podrían quejarse de tener que iniciar sesión con más frecuencia, pero es un precio pequeño a pagar para mantener tu red segura mientras implementas la actualización. Mantente atento al portal de avisos de seguridad de Palo Alto Networks; la situación es cambiante y podría haber más directrices en camino.