Palo Alto GlobalProtect bajo ataque: Vulnerabilidad de omisión de autenticación llega a la lista KEV de CISA
TL;DR
Palo Alto GlobalProtect bajo ataque: Vulnerabilidad de omisión de autenticación llega a la lista KEV de CISA
Palo Alto Networks ha confirmado lo peor: una vulnerabilidad de alta severidad de omisión de autenticación, rastreada como CVE-2026-0257, está siendo explotada activamente en el mundo real. Esta falla no es solo un error teórico; es un agujero directo en los componentes del portal y gateway de GlobalProtect en PAN-OS. Para un atacante, la lógica es simple: pueden falsificar cookies de autenticación para entrar directamente por la puerta principal de su VPN sin necesidad de una contraseña.
La situación ha escalado rápidamente. Tras surgir informes de explotación dirigida, CISA incluyó la vulnerabilidad en su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Si usted está ejecutando configuraciones de firewall afectadas, considere esto como una señal de alerta. El riesgo de acceso no autorizado a la red es alto, y aplicar parches no es opcional: es la única forma de mantener el perímetro intacto.
La mecánica de la brecha
Entonces, ¿cómo logra un atacante esto? Todo se reduce a una debilidad fundamental en cómo PAN-OS maneja las cookies de "Authentication Override" (anulación de autenticación). Cuando esta función específica está habilitada en un portal o gateway de GlobalProtect, el sistema se vuelve susceptible a entradas falsificadas.
Según el aviso de seguridad oficial de Palo Alto Networks, la vulnerabilidad se activa precisamente cuando ese mecanismo de anulación está activo. Es un caso clásico de confiar en los datos incorrectos. Rapid7, que observó la explotación activa de la vulnerabilidad, identificó dos oleadas distintas de ataques: una el 17 de mayo de 2026 y una segunda, más agresiva, el 21 de mayo. Estos no fueron solo sondeos; fueron intentos exitosos de establecer sesiones VPN no autorizadas.
La industria ha tomado nota del peligro. Si bien la evaluación de impacto inicial fue conservadora, la puntuación CVSSv4 actualizada para CVE-2026-0257 se sitúa ahora en 7.8. Esa es una calificación de alta severidad que refleja la realidad de la amenaza: es fácil de explotar, no requiere interacción del usuario y actualmente está siendo utilizada por adversarios reales.
¿Está expuesto su entorno?
No todas las implementaciones de PAN-OS están en riesgo. Esta vulnerabilidad está estrictamente ligada a la configuración de "Authentication Override". Si no tiene esa función habilitada, está a salvo, pero no se confíe. Verifique sus configuraciones.
Para ver si está ante un riesgo inminente, diríjase a su interfaz de gestión de PAN-OS y siga esta ruta:
- Ruta de navegación: Network > GlobalProtect > Gateways > Agent > Client Settings
- Configuración objetivo: "Accept cookie for authentication override"
Si esa casilla está marcada, usted es vulnerable. El informe detallado de amenazas de Palo Alto merece una lectura para cualquier equipo de seguridad que intente comprender los patrones de ataque específicos que Unit 42 ha estado rastreando. Es una mirada aleccionadora sobre la rapidez con la que estas omisiones pueden ser utilizadas como armas.
Parches y mitigación
La solución es sencilla, pero conlleva un poco de fricción. Debido a que la vulnerabilidad tiene su origen en la forma en que el firewall maneja las cookies criptográficas, debe romper el ciclo anterior para comenzar uno nuevo.
| Acción de mitigación | Impacto en los usuarios |
|---|---|
| Aplicar parche de seguridad | Fuerza una reautenticación única para todos los usuarios. |
| Deshabilitar Auth Override | Elimina la vulnerabilidad pero requiere inicio de sesión manual. |
| Actualización de Prisma Access | Gestionado automáticamente por Palo Alto Networks. |
Cuando aplica el parche, el sistema comenzará a generar cookies utilizando una metodología más robusta y segura. ¿El efecto secundario inmediato? Todos los usuarios activos de GlobalProtect serán desconectados y obligados a reautenticarse. Es una molestia, claro, pero es necesaria. Es la única forma de garantizar que cualquier cookie falsificada que circule actualmente quede inutilizada.
Para aquellos que usan Prisma Access, pueden estar tranquilos. Palo Alto se encarga del trabajo pesado en su infraestructura gestionada en la nube. Estos entornos se actualizan automáticamente según el programa de mantenimiento estándar, lo que significa que no tiene que mover un dedo.
Manténgase alerta
El hecho de que esta vulnerabilidad esté siendo explotada activamente es un duro recordatorio de que los dispositivos de borde son la primera línea de defensa y, a menudo, los primeros en ser atacados. Debido a que esta falla permite el acceso sin autenticación, la ventana de oportunidad para un atacante está abierta de par en par hasta que usted la cierre.
Los equipos de seguridad deben revisar sus registros de VPN ahora mismo. ¿Existen patrones de autenticación anómalos? ¿Se están estableciendo sesiones en horarios extraños o desde ubicaciones inesperadas? Si ve algo que no encaja en el patrón, investíguelo de inmediato.
Con la falla ahora listada oficialmente en el catálogo KEV de CISA, la presión aumenta. Las agencias federales ya tienen un plazo para aplicar el parche, y las organizaciones privadas deberían seguir su ejemplo sin demora. Incluso si no se encuentra en una industria regulada, la combinación de explotación activa y la calificación de alta severidad debería ser suficiente para mover esto a la parte superior de su lista de prioridades.
La transición a un método de generación de cookies más seguro es un paso crítico, pero no es el final de la historia. Vigile de cerca los registros de su gateway de GlobalProtect. Incluso después de aplicar el parche, querrá buscar cualquier señal residual de que alguien pudo haber intentado colarse antes de que usted cerrara la puerta. En el mundo de la ciberseguridad, ser proactivo es la única forma de mantenerse a la vanguardia. Mantenga sus sistemas actualizados, sus registros limpios y no asuma que está a salvo solo porque no ha visto una alerta todavía.
