Palo Alto Networks emite un parche de seguridad urgente tras la explotación activa de una vulnerabilidad en GlobalProtect VPN
TL;DR
Palo Alto Networks emite un parche de seguridad urgente tras la explotación activa de una vulnerabilidad en GlobalProtect VPN
Imagen cortesía de The Hacker News
Palo Alto Networks acaba de lanzar un parche de emergencia para una grave vulnerabilidad de elusión de autenticación, registrada como CVE-2026-0257. Este fallo afecta a los componentes del portal y gateway de GlobalProtect en su software PAN-OS, y no es algo que deba tomarse a la ligera. En resumen, permite que atacantes no autenticados evadan los protocolos de inicio de sesión estándar para establecer conexiones VPN no autorizadas. Para cualquier empresa que dependa de estas puertas de enlace, es un problema de seguridad crítico.
La situación se intensificó rápidamente. Lo que comenzó como un informe de vulnerabilidad estándar se convirtió en un incidente de alta prioridad una vez que los investigadores confirmaron que actores malintencionados ya la estaban utilizando en entornos reales. Debido a esto, la Agencia de Ciberseguridad y Seguridad de Infraestructuras (CISA) la ha añadido oficialmente a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV). Si aún no ha aplicado el parche, considere esto como una señal de alerta inmediata.
Cómo funciona la explotación
La raíz del problema reside en cómo PAN-OS gestiona las cookies de anulación de autenticación. Si tiene configurado su portal o gateway de GlobalProtect para aceptar estas cookies —una función de conveniencia común—, el sistema no valida correctamente la sesión. Básicamente, deja la puerta abierta. Esto es especialmente peligroso en entornos donde el Servicio de Autenticación en la Nube (CAS) está desactivado, ya que obliga al sistema a depender de un mecanismo interno que actualmente está totalmente expuesto a la manipulación.
Los mecanismos técnicos son sorprendentemente sencillos: al crear solicitudes específicas, un atacante puede eludir por completo la necesidad de credenciales válidas. Básicamente, se hacen pasar por un usuario legítimo. Los investigadores de Rapid7 detectaron esta actividad por primera vez el 17 de mayo de 2026. Los sondeos iniciales se rastrearon hasta infraestructuras alojadas en proveedores como Vultr y Dromatics Systems, lo que nos indica que no fue un fallo aleatorio, sino un esfuerzo coordinado para buscar gateways VPN expuestos.
Aunque Palo Alto Networks inicialmente calificó el riesgo como moderado, la realidad de la explotación activa los obligó a elevar la puntuación CVSSv4 a 7.8. Esa es una calificación de severidad "Alta", y tiene en cuenta lo fácil que es llevar a cabo este ataque y cuánto daño puede causar un atacante una vez dentro de su túnel.
¿Es vulnerable su infraestructura?
No todos los despliegues de PAN-OS están en riesgo. El ataque se dirige específicamente a sistemas donde la "anulación de autenticación" (authentication override) está habilitada, una función diseñada para mantener a los usuarios conectados sin obligarlos a iniciar sesión cada vez que su sesión expira.
Para ver si está en riesgo, revise su interfaz de gestión:
- Diríjase a la pestaña Network y seleccione GlobalProtect.
- Acceda a la configuración de sus Gateways y Agent.
- Busque la casilla "Accept cookie for authentication override".
- Compruebe si su Servicio de Autenticación en la Nube (CAS) está desactivado. Si esa casilla está marcada y el CAS está desactivado, es probable que esté expuesto.
Parcheo y mitigación
Palo Alto Networks publicó el aviso el 13 de mayo de 2026 y confirmó la explotación activa a finales de ese mes. La única solución real es aplicar los parches suministrados por el proveedor. Debido a que se trata de un fallo de lógica en cómo se generan y validan las cookies, la actualización cambia fundamentalmente la forma en que el sistema gestiona las sesiones.
| Acción | Resultado |
|---|---|
| Aplicar parche de seguridad | Corrige la lógica de elusión de autenticación. |
| Re-autenticación | Fuerza un inicio de sesión único para todos los usuarios de GlobalProtect. |
| Prisma Access | Actualizado automáticamente mediante el calendario de mantenimiento estándar. |
La aplicación del parche forzará una re-autenticación única para todos sus usuarios. Es una molestia, sin duda, pero es necesaria. El parche obliga al sistema a regenerar las cookies de autenticación utilizando un método criptográfico más seguro, lo que elimina efectivamente cualquier sesión existente que pudiera estar comprometida.
Para aquellos que utilizan Prisma Access, están de suerte: Palo Alto Networks se encarga de las actualizaciones automáticamente. Solo manténgase atento a su consola de administración para cualquier notificación de mantenimiento.
El panorama general
El paso de un error teórico a uno explotado activamente lo cambia todo. Los atacantes están utilizando proveedores de alojamiento comercial para escalar sus esfuerzos, lo que significa que son agresivos y cuentan con buenos recursos.
Los equipos de seguridad deben estar atentos. Revise sus registros en busca de patrones de autenticación extraños o conexiones VPN desde rangos de IP que no tengan sentido. Dado que este exploit elude la pantalla de inicio de sesión, es posible que sus alertas estándar basadas en credenciales no se activen. Debe buscar sesiones VPN exitosas que carezcan de un evento de inicio de sesión correspondiente; esa es su prueba definitiva.
Como señaló The Hacker News, el peligro aquí es que una vez que un atacante supera el portal, es esencialmente un usuario de confianza. Pueden escanear su red interna, moverse lateralmente y desplegar cargas útiles sin que nadie se dé cuenta.
Si no puede aplicar el parche de inmediato, hágase un favor y deshabilite la función "Accept cookie for authentication override". Sus usuarios podrían quejarse de tener que iniciar sesión con más frecuencia, pero es un precio pequeño a pagar para mantener su red segura mientras implementa la actualización. Manténgase atento al portal de avisos de seguridad de Palo Alto Networks; la situación es dinámica y podría haber más directrices en camino.