La empresa Palo Alto Networks ha confirmado la explotación activa de la vulnerabilidad CVE-2026-0257 (CVSS 7.8) en los productos PAN-OS y Prisma Access. La vulnerabilidad permite a un atacante eludir la autenticación en los componentes GlobalProtect portal y gateway y establecer una conexión VPN no autorizada con la red interna de la organización. Según Rapid7, se ha registrado explotación exitosa en numerosos clientes desde el 17 de mayo de 2026. Las organizaciones que utilizan GlobalProtect con la función de sustitución de autenticación mediante cookie habilitada deben instalar el parche de inmediato o aplicar medidas de protección temporales.
Detalles técnicos de la vulnerabilidad
Según el boletín oficial de Palo Alto Networks, publicado el 13 de mayo de 2026, la vulnerabilidad consiste en un bypass de autenticación en los componentes GlobalProtect portal y gateway del software PAN-OS. Su explotación permite al atacante eludir los mecanismos de seguridad y establecer una conexión VPN no autorizada con la red protegida.
Para que la explotación tenga éxito, es necesario que se cumplan simultáneamente varias condiciones:
- En el firewall está configurado un GlobalProtect portal o gateway
- Está habilitada la función de sustitución de autenticicación mediante cookie (authentication override cookies)
- Existe una configuración específica de certificados
La puntuación CVSS 7.8 clasifica la vulnerabilidad como media en la escala de criticidad; sin embargo, su potencial real de impacto es considerablemente mayor que la calificación formal. El bypass de autenticación en un dispositivo VPN perimetral proporciona de facto al atacante acceso directo a la red interna, lo que convierte la vulnerabilidad en estratégicamente crítica para cualquier organización que utilice GlobalProtect como mecanismo principal de acceso remoto.
Cronología de la explotación
El 29 de mayo de 2026, Palo Alto Networks actualizó el boletín de seguridad indicando que la empresa tenía conocimiento de «intentos limitados de explotación en dispositivos PAN-OS sin parche y sin medidas de mitigación aplicadas».
La empresa Rapid7 ofreció una imagen más detallada en su informe de investigación. Según los investigadores, se registró explotación exitosa en numerosos clientes de la compañía, y los ataques se desarrollaron en dos fases:
- Primera ola: el inicio de la explotación se registró el 17 de mayo de 2026, apenas cuatro días después de la publicación del boletín
- Segunda ola: el 21 de mayo de 2026, con un escenario de ataque más avanzado
De acuerdo con la evaluación de Rapid7, es probable que ambas olas hayan sido obra del mismo atacante, aunque el grupo concreto no ha sido identificado. En la segunda ola de ataques, según se informa, en dos casos se observó la asignación de una dirección IP de VPN tras la autenticación mediante cookie, lo que significó que el atacante obtuvo acceso pleno a la red interna. Al mismo tiempo, los investigadores señalan que no se registró actividad maliciosa adicional en los entornos comprometidos.
Evaluación del impacto
La ausencia de actividad pos-explotación observable no debe llevar a engaño. Existen varias explicaciones posibles para este hecho: el atacante podría haber estado llevando a cabo tareas de reconocimiento para operaciones dirigidas posteriores, recopilando credenciales de sesiones VPN para su reventa en mercados clandestinos, o la actividad simplemente no fue detectada por las herramientas de monitorización.
La vulnerabilidad representa un peligro especial para las organizaciones en las que GlobalProtect es el único mecanismo perimetral de acceso remoto. En tal caso, un bypass de autenticación equivale a la obtención de acceso VPN legítimo de un empleado, con los privilegios de red correspondientes y la posibilidad de movimiento lateral.
El intervalo de cuatro días entre la publicación del boletín (13 de mayo) y la primera explotación registrada (17 de mayo) demuestra que la ventana de respuesta es mínima. Las organizaciones que no aplicaron el parche o las medidas temporales en los primeros días tras la divulgación quedaron bajo una amenaza directa.
Recomendaciones de protección
Palo Alto Networks propone dos opciones de medidas temporales hasta la instalación del parche completo:
- Desactivar la función de sustitución de autenticación (authentication override): esto elimina por completo el vector de ataque, pero puede afectar a la experiencia del usuario en las reconexiones VPN
- Generar un nuevo certificado, utilizado exclusivamente para la función de sustitución de autenticación: esto permite mantener la funcionalidad, pero invalida cualquier cookie previamente interceptada o falsificada
Además de estas medidas, se recomienda:
- Realizar una auditoría de los registros de GlobalProtect en busca de sesiones VPN anómalas en el periodo desde el 13 de mayo de 2026
- Comprobar la existencia de asignaciones inesperadas de direcciones IP de VPN, especialmente desde regiones geográficas inusuales
- Asegurarse de que en todos los dispositivos PAN-OS con GlobalProtect esté instalada la versión de firmware actualizada con la corrección
- Valorar la implantación de un factor adicional de autenticación para las conexiones VPN que no dependa del mecanismo de cookie
La instalación del parche de Palo Alto Networks debe ser una tarea prioritaria para todas las organizaciones que operan GlobalProtect portal o gateway con la función de sustitución de autenticación habilitada. Teniendo en cuenta la explotación activa confirmada y la mínima ventana entre la divulgación y el inicio de los ataques, aplazar la actualización crea un riesgo directo de acceso no autorizado a la infraestructura interna. Las organizaciones que no puedan actualizar el firmware de forma inmediata deben aplicar sin demora una de las dos medidas temporales: desactivar la sustitución de autenticación o sustituir el certificado.
