Mastodon Mastodon Mastodon Mastodon

CVE-2026-0257: fallo de autenticación en GlobalProtect de Palo Alto

Foto del autor

CyberSecureFox Editorial Team

Publicado:

La empresa Palo Alto Networks informó sobre la explotación activa de la vulnerabilidad CVE-2026-0257 en los componentes de portal y gateway de GlobalProtect, una solución VPN ampliamente utilizada para organizar el acceso remoto a redes corporativas. La vulnerabilidad permite eludir la autenticación y establecer conexiones VPN no autorizadas. Según los investigadores, la explotación es limitada, pero las organizaciones que utilicen PAN-OS con GlobalProtect deben revisar de inmediato los registros en busca de indicadores de compromiso y aplicar las actualizaciones disponibles.

Detalles técnicos de la vulnerabilidad

CVE-2026-0257 (NVD) es una vulnerabilidad de omisión de autenticación que afecta a los componentes de portal y gateway de GlobalProtect en el software PAN-OS. Según Palo Alto Networks, la puntuación CVSS es de 7.8, lo que corresponde a un nivel de criticidad alto.

La esencia de la vulnerabilidad radica en la posibilidad de eludir los mecanismos de control de seguridad, lo que permite a un atacante iniciar conexiones VPN sin pasar por la autenticación adecuada. Este es un vector particularmente peligroso: una explotación exitosa ofrece al atacante un acceso a la red equivalente al de un empleado remoto legítimo.

Productos afectados:

  • PAN-OS: sistema operativo de los firewalls de Palo Alto Networks
  • GlobalProtect portal: portal de gestión de conexiones VPN
  • GlobalProtect gateway: gateway de conexiones VPN

Nota: las versiones concretas de PAN-OS afectadas no se han especificado en las fuentes disponibles en el momento de la publicación. Se recomienda consultar las recomendaciones oficiales del proveedor para determinar la aplicabilidad en su infraestructura.

Actividad de explotación observada

Según la unidad Unit 42 de Palo Alto Networks, los primeros indicios de explotación en entornos reales se registraron el 17 de mayo de 2026. Los ataques se describen como limitados en escala. Un detalle importante: solo una pequeña parte de los dispositivos sondeados llegó a establecer sesiones VPN, lo que dio lugar a la aparición de eventos de conexión al gateway (gateway-connected events).

En el momento de la publicación del informe, Palo Alto Networks declaró que no se ha identificado ninguna actividad posterior a la explotación ni movimiento lateral. Esto puede indicar una fase temprana de la campaña —fase de reconocimiento y verificación de acceso— o que los atacantes aún no han pasado a acciones activas dentro de las redes comprometidas. Por el momento no existe atribución de la amenaza: el actor responsable no ha sido identificado.

Conviene subrayar que la ausencia de movimiento lateral observable no significa ausencia de riesgo. Una conexión VPN establecida proporciona al atacante una cabeza de puente para acciones posteriores, y la demora entre la obtención del acceso y su uso es una táctica habitual de los grupos avanzados.

Indicadores de compromiso

Palo Alto Networks ha publicado las siguientes direcciones IP asociadas a la actividad observada:

  • 23.128.228[.]6
  • 104.207.144[.]154
  • 146.19.216[.]119
  • 146.19.216[.]120
  • 146.19.216[.]125
  • 179.43.172[.]213
  • 185.195.232[.]139
  • 198.12.106[.]60
  • 202.144.192[.]47

Además, los investigadores recomiendan buscar en los registros de GlobalProtect eventos de conexión exitosa al gateway que coincidan con los parámetros de configuración de cliente codificados en el exploit público (PoC):

  • endpoint_os_version: Microsoft Windows 10 Pro 64-bit
  • source_user_info.domain: valor vacío

La combinación de estos dos parámetros —versión concreta del sistema operativo y ausencia de información de dominio— es un signo característico del uso de este PoC exploit en particular. Si en su organización todas las conexiones legítimas de GlobalProtect se realizan con cuentas de dominio, un campo de dominio vacío en una conexión exitosa es una clara señal de alarma.

Evaluación del impacto

GlobalProtect es una de las soluciones VPN corporativas más extendidas, utilizada por organizaciones de diversos sectores en todo el mundo. Una vulnerabilidad de omisión de autenticación en el componente de acceso remoto representa un peligro especial por varios motivos:

  • Acceso directo a la red corporativa: una explotación exitosa elimina la barrera principal —la autenticación— y proporciona al atacante un acceso a la red indistinguible del legítimo
  • Los componentes de portal y gateway son accesibles desde internet por definición: esto es necesario para el funcionamiento de la VPN, lo que los convierte en un objetivo atractivo para el escaneo masivo
  • Disponibilidad de un PoC público: los parámetros de configuración de cliente codificados en el exploit reducen la barrera de entrada para atacantes menos cualificados

Están especialmente expuestas las organizaciones con versiones antiguas de PAN-OS que no hayan aplicado las actualizaciones correspondientes, así como aquellas que no monitorizan los eventos de conexión al gateway de GlobalProtect.

Recomendaciones prácticas

Acciones inmediatas

  1. Revise los registros de GlobalProtect en busca de eventos gateway-connected con los parámetros del PoC indicados anteriormente (versión de OS «Microsoft Windows 10 Pro 64-bit» con dominio de usuario vacío)
  2. Bloquee las direcciones IP enumeradas en los sistemas de protección perimetral. Antes de bloquear, asegúrese de que estas direcciones no sean utilizadas por servicios legítimos en su infraestructura
  3. Aplique las actualizaciones de PAN-OS que corrigen CVE-2026-0257, de acuerdo con las recomendaciones del proveedor

Medidas adicionales

  • Lleve a cabo un análisis retrospectivo de los registros desde el 17 de mayo de 2026, fecha de la primera explotación registrada
  • Si se detectan sesiones VPN sospechosas, investigue la posible actividad posterior a la explotación en los segmentos de red afectados, pese a la declaración de Palo Alto Networks sobre la ausencia de movimiento lateral
  • Considere implantar autenticación multifactor para GlobalProtect, si aún no está configurada, ya que esto añade una barrera adicional incluso cuando se elude el mecanismo principal de autenticación
  • Configure alertas sobre eventos de conexión al gateway con parámetros anómalos del cliente

Las organizaciones que utilicen PAN-OS con GlobalProtect deben tratar esta vulnerabilidad como una prioridad de mitigación. La existencia de explotación confirmada en entornos reales, de un PoC público y de un impacto directo en el perímetro de seguridad conforma un conjunto de factores que exige una respuesta rápida. La acción clave es la comprobación inmediata de los registros de GlobalProtect utilizando los indicadores publicados, en paralelo con la aplicación de las actualizaciones de PAN-OS.

Foto del autor

CyberSecureFox Editorial Team

El equipo editorial de CyberSecureFox cubre noticias de ciberseguridad, vulnerabilidades, campañas de malware, actividad de ransomware, AI security, cloud security y security advisories de proveedores. Los materiales se preparan a partir de official advisories, datos de CVE/NVD, alertas de CISA, publicaciones de proveedores e informes públicos de investigadores. Los artículos se revisan antes de su publicación y se actualizan cuando aparece nueva información.

Deja un comentario

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

CyberSecureFox

© 2026 INFO

Sobre el sitio

Sobre CyberSecureFox

Autores

Contacto

Redacción

Estándares editoriales

Correcciones

Legal

Política de privacidad

Términos de servicio