{"id":5073,"date":"2026-06-04T08:48:22","date_gmt":"2026-06-04T13:48:22","guid":{"rendered":"https:\/\/cert.pa\/?p=5073"},"modified":"2026-06-04T08:48:22","modified_gmt":"2026-06-04T13:48:22","slug":"csirt-panama-aviso-2026-06-03-omision-de-autenticacion-en-palo-alto-networks-pan-os-globalprotect-vpn-explotada-activamente-cve-2026-0257","status":"publish","type":"post","link":"https:\/\/cert.pa\/?p=5073","title":{"rendered":"CSIRT Panam\u00e1 Aviso 2026-06-03: Omisi\u00f3n de Autenticaci\u00f3n en Palo Alto Networks PAN-OS GlobalProtect VPN Explotada Activamente (CVE-2026-0257)"},"content":{"rendered":"<p><strong>Gravedad:<\/strong> Alta \u00a0\u00a0\u00a0 <strong>Fecha de publicaci\u00f3n:<\/strong> 03 de junio de 2026 \u00a0\u00a0\u00a0 <strong>\u00daltima revisi\u00f3n:<\/strong> 03 de junio de 2026<\/p>\n<h2>Sistemas Afectados<\/h2>\n<ul>\n<li>Palo Alto Networks PAN-OS con GlobalProtect Portal habilitado<\/li>\n<li>Palo Alto Networks PAN-OS con GlobalProtect Gateway habilitado<\/li>\n<li>Dispositivos configurados con authentication override cookies habilitadas<\/li>\n<li>Dispositivos que comparten el mismo certificado para HTTPS y autenticaci\u00f3n override<\/li>\n<\/ul>\n<table>\n<tbody>\n<tr>\n<td><strong>Identificador CVE<\/strong><\/td>\n<td>CVE-2026-0257<\/td>\n<\/tr>\n<tr>\n<td><strong>CVSS Score<\/strong><\/td>\n<td>8.1 (Alta)<\/td>\n<\/tr>\n<tr>\n<td><strong>Tecnolog\u00eda<\/strong><\/td>\n<td>Palo Alto Networks PAN-OS \u2014 GlobalProtect Portal y Gateway (dispositivos sin parche de mayo 2026)<\/td>\n<\/tr>\n<tr>\n<td><strong>Fuente<\/strong><\/td>\n<td>BleepingComputer<\/td>\n<\/tr>\n<\/tbody>\n<\/table>\n<h2>I. Descripci\u00f3n<\/h2>\n<p>CSIRT Panam\u00e1 advierte sobre la explotaci\u00f3n activa de CVE-2026-0257, una vulnerabilidad de omisi\u00f3n de autenticaci\u00f3n en el componente GlobalProtect de Palo Alto Networks PAN-OS. Palo Alto Networks actualiz\u00f3 su aviso el 30 de mayo de 2026 para confirmar ataques activos contra dispositivos sin parche, elevando la severidad de Media a Alta. La CISA agreg\u00f3 esta vulnerabilidad al cat\u00e1logo KEV el 29 de mayo de 2026, ordenando a agencias federales su remediaci\u00f3n antes del 1 de junio de 2026.<\/p>\n<p>La falla reside en la forma en que PAN-OS valida las authentication override cookies de GlobalProtect. El sistema descifra estas cookies usando una clave privada configurada y conf\u00eda en el contenido descifrado sin realizar verificaci\u00f3n de firma. Si el mismo certificado se reutiliza para servicios HTTPS y para las authentication override cookies, un atacante puede obtener la clave p\u00fablica correspondiente a trav\u00e9s de la sesi\u00f3n HTTPS y usarla para crear cookies de autenticaci\u00f3n falsificadas que el dispositivo aceptar\u00e1 como leg\u00edtimas.<\/p>\n<p>Rapid7 report\u00f3 haber observado explotaci\u00f3n exitosa en m\u00faltiples clientes desde el 17 de mayo de 2026, con ataques originados desde infraestructura de Vultr y Dromatics Systems. En los casos documentados, los atacantes lograron conectarse a la VPN usando cookies falsificadas, obteniendo acceso a redes internas corporativas.<\/p>\n<h2>II. Impacto<\/h2>\n<ul>\n<li>Acceso no autorizado a redes corporativas internas mediante conexiones VPN fraudulentas.<\/li>\n<li>Posibilidad de movimiento lateral hacia sistemas cr\u00edticos internos tras el acceso VPN.<\/li>\n<li>Exposici\u00f3n de activos internos, servidores de aplicaciones, bases de datos y sistemas OT\/SCADA.<\/li>\n<li>Robo de credenciales e informaci\u00f3n confidencial almacenada en la red interna.<\/li>\n<li>Riesgo de persistencia prolongada en la red si el acceso no es detectado oportunamente.<\/li>\n<\/ul>\n<h2>III. Referencia a soluciones, herramientas e informaci\u00f3n<\/h2>\n<p>El CSIRT Panam\u00e1 urge a todas las organizaciones que utilicen GlobalProtect de Palo Alto Networks a ejecutar las siguientes acciones con car\u00e1cter de emergencia:<\/p>\n<ul>\n<li>Actualizar PAN-OS a la versi\u00f3n que incluye el parche de CVE-2026-0257 disponible en el portal de soporte de Palo Alto Networks (support.paloaltonetworks.com).<\/li>\n<li>Como mitigaci\u00f3n inmediata, deshabilitar las authentication override cookies en los dispositivos GlobalProtect hasta que el parche sea aplicado.<\/li>\n<li>Si se requieren las authentication override cookies, utilizar un certificado dedicado exclusivo para esta funci\u00f3n, diferente al usado para los servicios HTTPS.<\/li>\n<li>Revisar todos los registros de conexiones VPN desde el 17 de mayo de 2026 en busca de sesiones sospechosas o desde IPs desconocidas.<\/li>\n<li>Implementar o reforzar autenticaci\u00f3n multifactor (MFA) en GlobalProtect para agregar una capa adicional de protecci\u00f3n.<\/li>\n<li>Bloquear temporalmente el acceso de las IPs reportadas: infraestructura de Vultr y Dromatics Systems identificadas en los ataques.<\/li>\n<\/ul>\n<h2>Referencias<\/h2>\n<ul>\n<li><a href=\"https:\/\/www.bleepingcomputer.com\/news\/security\/palo-alto-globalprotect-vpn-auth-bypass-flaw-now-exploited-in-attacks\/\">BleepingComputer \u2014 Palo Alto GlobalProtect VPN auth bypass<\/a><\/li>\n<li><a href=\"https:\/\/nvd.nist.gov\/vuln\/detail\/CVE-2026-0257\">NVD \u2014 CVE-2026-0257<\/a><\/li>\n<li><a href=\"https:\/\/security.paloaltonetworks.com\/CVE-2026-0257\">Palo Alto Networks Security Advisory<\/a><\/li>\n<li><a href=\"https:\/\/www.cisa.gov\/known-exploited-vulnerabilities-catalog\">CISA KEV Catalog<\/a><\/li>\n<li><a href=\"https:\/\/www.rapid7.com\/blog\/post\/2026\/05\/30\/pan-os-globalprotect-exploitation\/\">Rapid7 Blog \u2014 PAN-OS GlobalProtect Exploitation<\/a><\/li>\n<\/ul>\n<hr \/>\n<p><strong>CSIRT PANAMA<\/strong> \u00b7 Computer Security Incident Response Team<br \/>\nAutoridad Nacional para la Innovaci\u00f3n Gubernamental<br \/>\nE-Mail: <a href=\"mailto:incidentes@cert.pa\">incidentes@cert.pa<\/a> \u00b7 <a href=\"mailto:info@cert.pa\">info@cert.pa<\/a><br \/>\nPhone: +507 520-CERT (2378) \u00b7 Web: <a href=\"https:\/\/cert.pa\">https:\/\/cert.pa<\/a> \u00b7 X: @CSIRTPanama \u00b7 Key ID: 16F2B124<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Gravedad: Alta \u00a0\u00a0\u00a0 Fecha de publicaci\u00f3n: 03 de junio de 2026 \u00a0\u00a0\u00a0 \u00daltima revisi\u00f3n: 03 de junio de 2026 Sistemas Afectados Palo Alto Networks PAN-OS con GlobalProtect Portal habilitado Palo Alto Networks PAN-OS con GlobalProtect&#8230;<\/p>\n","protected":false},"author":5,"featured_media":5085,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"om_disable_all_campaigns":false,"_monsterinsights_skip_tracking":false,"_monsterinsights_sitenote_active":false,"_monsterinsights_sitenote_note":"","_monsterinsights_sitenote_category":0,"_uf_show_specific_survey":0,"_uf_disable_surveys":false,"footnotes":""},"categories":[4],"tags":[72,211],"class_list":["post-5073","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-avisos-de-seguridad","tag-avisos-de-seguridad","tag-palo-alto"],"_links":{"self":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5073","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/users\/5"}],"replies":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcomments&post=5073"}],"version-history":[{"count":1,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5073\/revisions"}],"predecessor-version":[{"id":5086,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/posts\/5073\/revisions\/5086"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=\/wp\/v2\/media\/5085"}],"wp:attachment":[{"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fmedia&parent=5073"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Fcategories&post=5073"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/cert.pa\/index.php?rest_route=%2Fwp%2Fv2%2Ftags&post=5073"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}