Palo Alto Networks emite un parche de seguridad urgente tras la explotación activa de una vulnerabilidad de omisión de autenticación
TL;DR
Palo Alto Networks emite un parche de seguridad urgente tras la explotación activa de una vulnerabilidad de omisión de autenticación
Imagen cortesía de The Hacker News
Si utiliza infraestructura de Palo Alto Networks, detenga lo que está haciendo y revise sus registros de parches. La compañía acaba de lanzar actualizaciones de seguridad críticas para PAN-OS y Prisma Access, y por una vez, esto no es solo mantenimiento de rutina. Estamos ante una explotación activa en el mundo real.
La situación se centra en dos problemas principales: una grave omisión de autenticación (CVE-2026-0257) que permite a los atacantes entrar en su VPN, y una falla en la interfaz de administración (CVE-2025-0108) que los hackers están encadenando con otros errores para obtener un punto de apoyo. Palo Alto Networks ha confirmado que, aunque la explotación es actualmente limitada, está ocurriendo. Los dispositivos sin parches son, esencialmente, blancos fáciles.
El problema de la VPN: CVE-2026-0257
Hablemos primero del problema más importante. CVE-2026-0257 es una pesadilla con una puntuación CVSS de 7.8 para cualquier empresa que dependa de GlobalProtect para el acceso remoto. En esencia, esta falla permite que un atacante no autenticado omita las comprobaciones de seguridad e inicie una sesión VPN. Es el equivalente digital a que alguien entre por su puerta principal porque la cerradura se instaló al revés.
La vulnerabilidad afecta específicamente a las configuraciones donde el portal o gateway de GlobalProtect está activo y se cumplen ciertas condiciones relacionadas con la configuración de certificados y las cookies de anulación de autenticación. Según lo informado por The Hacker News, Palo Alto Networks señaló este problema por primera vez el 13 de mayo de 2026. Para el 29 de mayo, los primeros intentos de explotación confirmados ya estaban ocurriendo. Si aún no ha aplicado el parche, se ha quedado atrás.
Riesgos en la interfaz de administración: CVE-2025-0108
Aunque la omisión de la VPN pueda acaparar los titulares, no ignore CVE-2025-0108. Es un problema de gravedad media (CVSS-BT 5.1) que afecta a la interfaz web de administración de PAN-OS, pero no deje que esa calificación de "media" lo engañe.
La falla permite que un atacante no autenticado con acceso de red a la interfaz de administración ejecute scripts PHP específicos. El verdadero peligro aquí no es la vulnerabilidad de forma aislada, sino cómo los atacantes la están utilizando. Hemos visto evidencia de actores de amenazas encadenando este error con dos vulnerabilidades más antiguas (CVE-2024-9474 y CVE-2025-0111) para escalar su impacto. Es el clásico escenario de "muerte por mil cortes", donde varias fallas menores se suman para comprometer el sistema por completo.
Resumen del impacto de las vulnerabilidades
| ID de vulnerabilidad | Impacto principal | Puntuación CVSS |
|---|---|---|
| CVE-2026-0257 | Acceso no autorizado a VPN | 7.8 |
| CVE-2025-0108 | Omisión de interfaz de administración | 5.1 |
Cómo proteger su entorno
La aplicación de parches es el primer paso innegociable. Si no cuenta con la última versión de PAN-OS o Prisma Access, está dejando la puerta abierta. Pero debido a que estas vulnerabilidades se están utilizando activamente, debe ir más allá de simplemente presionar el botón de "actualizar". Debe fortalecer su configuración.
- Actualice inmediatamente: Lleve sus instancias a las versiones más recientes proporcionadas por el proveedor. No existe una solución alternativa para la falla de código subyacente.
- Restrinja el acceso de administración: Para CVE-2025-0108, la mejor defensa es evitar que la interfaz de administración sea accesible desde la internet pública. Restrinja el acceso solo a direcciones IP internas de confianza. Si necesita un repaso sobre cómo hacer esto, consulte la guía oficial sobre cómo asegurar el acceso de administración.
- Audite GlobalProtect: Revise minuciosamente la configuración de su portal y gateway. Asegúrese de que sus cookies de anulación de autenticación sigan las mejores prácticas de seguridad y que las configuraciones de sus certificados no estén creando un vector de omisión involuntario.
- Monitoree los registros: Su equipo de seguridad debe estar buscando llamadas inusuales a scripts PHP en la interfaz de administración. Si todavía tiene vulnerabilidades heredadas como CVE-2024-9474 o CVE-2025-0111 en su entorno, es un objetivo principal para estos ataques encadenados.
El marco de trabajo CVSS v4.0 destaca lo crítico que es esto. Cuando se confirma la explotación activa, el tiempo corre. La combinación de acceso no autenticado y la capacidad de ejecutar scripts en las interfaces de administración es una receta para el colapso total de la infraestructura.
Manténgase atento al portal de seguridad de Palo Alto Networks. Esta es una situación dinámica y, a medida que continúe la investigación sobre estas campañas, es probable que surja más orientación. No espere a recibir una notificación de brecha para tomar medidas: asegure su perímetro ahora.
