Palo Alto Networks advirtió que una falla de seguridad de gravedad media recientemente revelada que afecta a PAN-OS y Prisma Access ha sido objeto de explotación activa en la naturaleza.
La vulnerabilidad, rastreada como CVE-2026-0257 (Puntuación CVSS: 7,8), se refiere a un caso de omisión de autenticación que podría ser aprovechado por delincuentes para configurar conexiones VPN.
«Las vulnerabilidades de omisión de autenticación en el portal GlobalProtect y la puerta de enlace del software PAN-OS® de Palo Alto Networks permiten al atacante eludir las restricciones de seguridad y establecer una conexión VPN no autorizada», dijo Palo Alto Networks en un aviso publicado el 13 de mayo de 2026.
El problema afecta específicamente a los firewalls con el portal o puerta de enlace GlobalProtect configurado cuando las cookies de anulación de autenticación están habilitadas y existe una configuración de certificado específica, dijo la compañía de seguridad de red.
En una actualización de su aviso del 29 de mayo de 2026, Palo Alto Networks dijo que «se ha dado cuenta de intentos de explotación limitados en dispositivos PAN-OS sin parches y sin mitigaciones aplicadas».
El desarrollo se produce después de que Rapid7 revelara que identificó una explotación exitosa en numerosos clientes, y los primeros esfuerzos se remontan al 17 de mayo de 2026, seguidos de una segunda ola el 21 de mayo. Se considera que ambos conjuntos de explotación son obra del mismo actor de amenazas.
La actividad observada en la segunda ola implicó la asignación de IP de VPN después de la autenticación de cookies en dos casos, otorgando al atacante acceso a la red interna. No hay actividad de seguimiento en los entornos de los clientes donde se estableció una sesión VPN, añadió el proveedor de ciberseguridad.
«Una omisión de autenticación en un dispositivo VPN empresarial de borde puede tener un impacto significativo en las organizaciones afectadas», dijo Rapid7. «Como tal, se insta a las organizaciones que ejecutan dispositivos afectados a actualizar urgentemente a un parche proporcionado por el proveedor».
Como mitigación temporal, se recomienda deshabilitar la función de anulación de autenticación o generar un nuevo certificado para usarlo exclusivamente para la función de anulación de autenticación.
La explotación de CVE-2026-0257 sigue a un informe de Arctic Wolf sobre la continua utilización como arma de una falla de seguridad crítica, ahora parcheada, que afecta las implementaciones de FortiClient Endpoint Management Server (EMS) (CVE-2026-35616, puntuación CVSS: 9.1) para entregar malware de robo de credenciales llamado EKZ Infostealer.