Palo Alto Networks emite un parche de seguridad urgente tras la explotación activa de una vulnerabilidad en GlobalProtect VPN

CVE-2026-0257 Palo Alto Networks vulnerability GlobalProtect VPN exploit PAN-OS security patch CISA KEV catalog
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
28 de junio de 2026
4 min de lectura
Palo Alto Networks emite un parche de seguridad urgente tras la explotación activa de una vulnerabilidad en GlobalProtect VPN

TL;DR

• Palo Alto Networks lanzó un parche de emergencia para la vulnerabilidad CVE-2026-0257. • La vulnerabilidad permite a los atacantes eludir los protocolos de autenticación de la VPN. • CISA ha añadido el fallo a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). • Los atacantes están explotando activamente este error en entornos reales. • Los administradores deben actualizar PAN-OS inmediatamente para asegurar sus gateways empresariales.

Palo Alto Networks emite un parche de seguridad urgente tras la explotación activa de una vulnerabilidad en GlobalProtect VPN

Imagen cortesía de The Hacker News

Palo Alto Networks acaba de lanzar un parche de emergencia para una grave vulnerabilidad de elusión de autenticación, registrada como CVE-2026-0257. Este fallo afecta a los componentes del portal y gateway de GlobalProtect en su software PAN-OS, y no es algo que deba tomarse a la ligera. En resumen, permite que atacantes no autenticados evadan los protocolos de inicio de sesión estándar para establecer conexiones VPN no autorizadas. Para cualquier empresa que dependa de estas puertas de enlace, es un problema de seguridad crítico.

La situación se intensificó rápidamente. Lo que comenzó como un informe de vulnerabilidad estándar se convirtió en un incidente de alta prioridad una vez que los investigadores confirmaron que actores malintencionados ya la estaban utilizando en entornos reales. Debido a esto, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) la ha añadido oficialmente a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Si aún no ha aplicado el parche, considere esto como una señal de alerta inmediata.

Cómo funciona la explotación

La raíz del problema reside en cómo PAN-OS gestiona las cookies de anulación de autenticación. Si tiene configurado su portal o gateway de GlobalProtect para aceptar estas cookies —una función de conveniencia común—, el sistema no valida correctamente la sesión. Básicamente, deja la puerta abierta. Esto es especialmente peligroso en entornos donde el Servicio de Autenticación en la Nube (CAS) está desactivado, ya que obliga al sistema a depender de un mecanismo interno que actualmente está totalmente expuesto a la manipulación.

Los mecanismos técnicos son sorprendentemente sencillos: al crear solicitudes específicas, un atacante puede eludir por completo la necesidad de credenciales válidas. Básicamente, se hacen pasar por un usuario legítimo. Los investigadores de Rapid7 detectaron esta actividad por primera vez el 17 de mayo de 2026. Los sondeos iniciales se rastrearon hasta infraestructuras alojadas en proveedores como Vultr y Dromatics Systems, lo que nos indica que no fue un fallo aleatorio, sino un esfuerzo coordinado para buscar gateways VPN expuestos.

Aunque Palo Alto Networks inicialmente calificó el riesgo como moderado, la realidad de la explotación activa los obligó a elevar la puntuación CVSSv4 a 7.8. Esa es una calificación de severidad "Alta", y tiene en cuenta lo fácil que es llevar a cabo este ataque y cuánto daño puede causar un atacante una vez dentro de su túnel.

¿Es vulnerable su infraestructura?

No todos los despliegues de PAN-OS están en riesgo. El ataque se dirige específicamente a sistemas donde la "anulación de autenticación" (authentication override) está habilitada, una función diseñada para mantener a los usuarios conectados sin obligarlos a iniciar sesión cada vez que su sesión expira.

Para ver si está en riesgo, revise su interfaz de gestión:

  • Diríjase a la pestaña Network y seleccione GlobalProtect.
  • Acceda a la configuración de sus Gateways y Agent.
  • Busque la casilla "Accept cookie for authentication override".
  • Compruebe si su Servicio de Autenticación en la Nube (CAS) está desactivado. Si esa casilla está marcada y el CAS está desactivado, es probable que esté expuesto.

Parcheo y mitigación

Palo Alto Networks publicó el aviso el 13 de mayo de 2026 y confirmó la explotación activa a finales de ese mes. La única solución real es aplicar los parches suministrados por el proveedor. Debido a que se trata de un fallo de lógica en cómo se generan y validan las cookies, la actualización cambia fundamentalmente la forma en que el sistema gestiona las sesiones.

Acción Resultado
Aplicar parche de seguridad Corrige la lógica de elusión de autenticación.
Re-autenticación Fuerza un inicio de sesión único para todos los usuarios de GlobalProtect.
Prisma Access Actualizado automáticamente mediante el calendario de mantenimiento estándar.

La aplicación del parche forzará una re-autenticación única para todos sus usuarios. Es una molestia, sin duda, pero es necesaria. El parche obliga al sistema a regenerar las cookies de autenticación utilizando un método criptográfico más seguro, lo que elimina efectivamente cualquier sesión existente que pudiera estar comprometida.

Para aquellos que utilizan Prisma Access, están de suerte: Palo Alto Networks se encarga de las actualizaciones automáticamente. Solo manténgase atento a su consola de administración para cualquier notificación de mantenimiento.

El panorama general

El paso de un error teórico a uno explotado activamente lo cambia todo. Los atacantes están utilizando proveedores de alojamiento comercial para escalar sus esfuerzos, lo que significa que son agresivos y cuentan con buenos recursos.

Los equipos de seguridad deben estar atentos. Revise sus registros en busca de patrones de autenticación extraños o conexiones VPN desde rangos de IP que no tengan sentido. Dado que este exploit elude la pantalla de inicio de sesión, es posible que sus alertas estándar basadas en credenciales no se activen. Debe buscar sesiones VPN exitosas que carezcan de un evento de inicio de sesión correspondiente; esa es su prueba definitiva.

Como señaló The Hacker News, el peligro aquí es que una vez que un atacante supera el portal, es esencialmente un usuario de confianza. Pueden escanear su red interna, moverse lateralmente y desplegar cargas útiles sin que nadie se dé cuenta.

Si no puede aplicar el parche de inmediato, hágase un favor y deshabilite la función "Accept cookie for authentication override". Sus usuarios podrían quejarse de tener que iniciar sesión con más frecuencia, pero es un precio pequeño a pagar para mantener su red segura mientras implementa la actualización. Manténgase atento al portal de avisos de seguridad de Palo Alto Networks; la situación es dinámica y podría haber más directrices en camino.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Noticias relacionadas

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Por Viktor Sokolov 10 de julio de 2026 4 min de lectura
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Por Marcus Chen 9 de julio de 2026 4 min de lectura
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Por Elena Voss 8 de julio de 2026 4 min de lectura
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Por James Okoro 7 de julio de 2026 4 min de lectura
common.read_full_article