Gravedad: Alta Fecha de publicación: 03 de junio de 2026 Última revisión: 03 de junio de 2026
Sistemas Afectados
- Palo Alto Networks PAN-OS con GlobalProtect Portal habilitado
- Palo Alto Networks PAN-OS con GlobalProtect Gateway habilitado
- Dispositivos configurados con authentication override cookies habilitadas
- Dispositivos que comparten el mismo certificado para HTTPS y autenticación override
| Identificador CVE | CVE-2026-0257 |
| CVSS Score | 8.1 (Alta) |
| Tecnología | Palo Alto Networks PAN-OS — GlobalProtect Portal y Gateway (dispositivos sin parche de mayo 2026) |
| Fuente | BleepingComputer |
I. Descripción
CSIRT Panamá advierte sobre la explotación activa de CVE-2026-0257, una vulnerabilidad de omisión de autenticación en el componente GlobalProtect de Palo Alto Networks PAN-OS. Palo Alto Networks actualizó su aviso el 30 de mayo de 2026 para confirmar ataques activos contra dispositivos sin parche, elevando la severidad de Media a Alta. La CISA agregó esta vulnerabilidad al catálogo KEV el 29 de mayo de 2026, ordenando a agencias federales su remediación antes del 1 de junio de 2026.
La falla reside en la forma en que PAN-OS valida las authentication override cookies de GlobalProtect. El sistema descifra estas cookies usando una clave privada configurada y confía en el contenido descifrado sin realizar verificación de firma. Si el mismo certificado se reutiliza para servicios HTTPS y para las authentication override cookies, un atacante puede obtener la clave pública correspondiente a través de la sesión HTTPS y usarla para crear cookies de autenticación falsificadas que el dispositivo aceptará como legítimas.
Rapid7 reportó haber observado explotación exitosa en múltiples clientes desde el 17 de mayo de 2026, con ataques originados desde infraestructura de Vultr y Dromatics Systems. En los casos documentados, los atacantes lograron conectarse a la VPN usando cookies falsificadas, obteniendo acceso a redes internas corporativas.
II. Impacto
- Acceso no autorizado a redes corporativas internas mediante conexiones VPN fraudulentas.
- Posibilidad de movimiento lateral hacia sistemas críticos internos tras el acceso VPN.
- Exposición de activos internos, servidores de aplicaciones, bases de datos y sistemas OT/SCADA.
- Robo de credenciales e información confidencial almacenada en la red interna.
- Riesgo de persistencia prolongada en la red si el acceso no es detectado oportunamente.
III. Referencia a soluciones, herramientas e información
El CSIRT Panamá urge a todas las organizaciones que utilicen GlobalProtect de Palo Alto Networks a ejecutar las siguientes acciones con carácter de emergencia:
- Actualizar PAN-OS a la versión que incluye el parche de CVE-2026-0257 disponible en el portal de soporte de Palo Alto Networks (support.paloaltonetworks.com).
- Como mitigación inmediata, deshabilitar las authentication override cookies en los dispositivos GlobalProtect hasta que el parche sea aplicado.
- Si se requieren las authentication override cookies, utilizar un certificado dedicado exclusivo para esta función, diferente al usado para los servicios HTTPS.
- Revisar todos los registros de conexiones VPN desde el 17 de mayo de 2026 en busca de sesiones sospechosas o desde IPs desconocidas.
- Implementar o reforzar autenticación multifactor (MFA) en GlobalProtect para agregar una capa adicional de protección.
- Bloquear temporalmente el acceso de las IPs reportadas: infraestructura de Vultr y Dromatics Systems identificadas en los ataques.
Referencias
- BleepingComputer — Palo Alto GlobalProtect VPN auth bypass
- NVD — CVE-2026-0257
- Palo Alto Networks Security Advisory
- CISA KEV Catalog
- Rapid7 Blog — PAN-OS GlobalProtect Exploitation
CSIRT PANAMA · Computer Security Incident Response Team
Autoridad Nacional para la Innovación Gubernamental
E-Mail: incidentes@cert.pa · info@cert.pa
Phone: +507 520-CERT (2378) · Web: https://cert.pa · X: @CSIRTPanama · Key ID: 16F2B124