Introducción
El pasado 1 de junio, Palo Alto Networks confirmó que atacantes están explotando activamente una vulnerabilidad de bypass de autenticación en PAN-OS 11.1.x y versiones posteriores. El problema, registrado como CVE-2026-0257, permite a actores maliciosos crear cookies de autenticación falsa y acceder a redes corporativas a través de GlobalProtect sin credenciales válidas.
Lo más preocupante no es solo que el exploit esté en la naturaleza, sino que Rapid7 detectó actividad maliciosa desde el 17 de mayo, casi un mes antes de que Palo Alto elevara la gravedad de «media» a «crítica» y asignara su etiqueta de urgencia máxima. Esto marca un patrón preocupante: vulnerabilidades que pasan de advisory a explotación activa en cuestión de semanas, dejando a los equipos de seguridad con poco margen para reaccionar.
Qué ocurrió
Cronología de eventos
| Fecha | Evento | Fuente |
|---|---|---|
| 13/05/2026 | Palo Alto publica advisory inicial con severidad **Media** y sin evidencia de explotación activa | [PAN-OS Advisory][1] |
| 17/05/2026 | Rapid7 detecta explotación en múltiples entornos de clientes | [Rapid7 Blog][2] |
| 01/06/2026 | CISA incluye CVE-2026-0257 en su catálogo de vulnerabilidades explotadas conocidas | [CISA KEV Catalog][3] |
| 01/06/2026 | Palo Alto actualiza advisory elevando severidad a **Crítica** y agregando mitigaciones | [Palo Alto Update][1] |
- Generar una cookie falsa con permisos elevados.
- Presentarla al firewall como válida.
- Obtener acceso VPN sin credenciales.
Vector de ataque
El vector principal es exposición a internet de los gateways GlobalProtect. Rapid7 confirmó que los atacantes:
- Escanean en busca de dispositivos con PAN-OS 11.1.x sin parches.
- Explotan CVE-2026-0257 para establecer sesiones VPN no autorizadas.
- En algunos casos, obtienen direcciones IP internas y acceso a la red corporativa.
Impacto para DevOps / Infraestructura / Cloud / Seguridad
Riesgo real para equipos de infraestructura
- Acceso no autorizado a VPN corporativa:
– GlobalProtect es el servicio VPN más utilizado en entornos enterprise: ~30% de las empresas Fortune 500 lo emplean para acceso remoto seguro (estimación basada en [Gartner 2025][5]).
- Cumplimiento y regulaciones:
– ISO 27001:2022 incluye controles de acceso remoto (A.9.4.2). La explotación de CVE-2026-0257 viola este control.
- Operatividad y SLA:
– Equipos de DevOps con entornos híbridos (on-premise + cloud) enfrentan mayor complejidad: ~40% de los incidentes de seguridad en clouds híbridos involucran configuraciones erróneas en firewalls ([Verizon DBIR 2026][7]).
Priorización para equipos de seguridad
| Prioridad | Criterio | Acción recomendada |
|---|---|---|
| Urgente | GlobalProtect expuesto a internet con PAN-OS 11.1.x | Parchear en <24 horas |
| Alta | Dispositivos con el mismo certificado para HTTPS y autenticación override | Rotar certificados y aplicar mitigaciones |
| Media | Entornos con PAN-OS 10.2.x (no afectado) | Monitorear posibles exploits futuros |
Componentes afectados
- Producto: Palo Alto Networks PAN-OS (versiones 11.1.x y posteriores).
- Servicio: GlobalProtect (VPN).
- Componente vulnerable: Módulo de autenticación con authentication override cookies.
- Configuración crítica: Uso del mismo certificado para:
– Cookies de autentication override.
CVE-2026-0257: Análisis técnico
Vector de ataque:# Ejemplo de exploit en fase de reconocimiento (simplificado)
curl -k -X POST "https://<firewall-ip>/ssl-vpn/prelogin.esp" \
-H "Cookie: override_cookie=eyJ1c2VybmFtZSI6...<base64-encoded-payload>"El código vulnerable en PAN-OS no valida correctamente la firma de las cookies de override cuando:
- El certificado usado para firmar las cookies es el mismo que el usado para el HTTPS del firewall.
- La configuración global permite authentication override (habilitado por defecto en algunas versiones).
| Versión PAN-OS | Estado | Severidad | Parche disponible |
|---|---|---|---|
| 11.1.x | Afectada | Crítica | PAN-OS 11.1.2-h3 |
| 11.2.x | Afectada | Crítica | PAN-OS 11.2.1-h1 |
| 10.2.x | No afectada | — | — |
- El fallo reside en la función
sslvpn_auth_override_validate()del módulosslvpn. - Se parcheó en PAN-OS 11.1.2-h3 con el fix ID 263456 ([Palo Alto PSIRT][1]).
Evidencia de explotación activa
Rapid7 reporta:
- Múltima actividad detectada: 28/05/2026.
- Técnica usada: Inyección de cookies falsas con permisos de
admin. - Impacto: Acceso VPN sin MFA en 3 de 5 entornos analizados.
Qué deberían hacer los administradores y equipos técnicos
1. Verificar si su entorno está afectado
Ejecute este comando en el firewall para confirmar la versión de PAN-OS:
show system info | match versionsw-version: 11.1.1-h3Si el resultado incluye 11.1.x o 11.2.x, el dispositivo está afectado.
2. Aplicar mitigaciones inmediatas (si no puede parchear)
Mitigación 1: Deshabilitar authentication overrideset global-protect-gateway "gp-gateway" authentication-override disable
commit- Generar un certificado nuevo para GlobalProtect:
request certificate self-signed generate name "gp-new-cert" algorithm RSA size 2048
- Asignarlo al portal GlobalProtect:
set global-protect-portal "gp-portal" certificate "gp-new-cert"
set global-protect-gateway "gp-gateway" certificate "gp-new-cert"
commit
Agregue reglas en el firewall para denegar tráfico sospechoso:
set rulebase security rules "Deny-Exploit-GlobalProtect" source any destination [ <firewall-ip> ] service ssl-vpn action deny3. Parchear a la versión segura
Para entornos con PAN-OS 11.1.x:# Descargar y aplicar parche (ejemplo para Panorama)
request system software download version 11.1.2-h3
request system software install version 11.1.2-h3request system software download version 11.2.1-h1
request system software install version 11.2.1-h1- Reinicie los dispositivos afectados tras aplicar el parche.
- Verifique el estado del servicio GlobalProtect:
show global-protect-gateway current-user
4. Validar la mitigación
- Simule un ataque con curl para confirmar que el firewall rechaza cookies falsas:
curl -k -v "https://<firewall-ip>/ssl-vpn/prelogin.esp" \
-H "Cookie: override_cookie=eyJ1c2VybmFtZSI6InRlc3QifQ=="
- Revise logs en el firewall:
less mp-log sslvpn.log | grep "authentication override"
override_cookie rejected o invalid signature.5. Monitoreo post-parcheo
Configure alertas en su SIEM (ej: Splunk, ELK) para detectar:
- Conexiones VPN desde IPs no autorizadas.
- Intentos de inyección de cookies con patrones sospechosos (ej:
eyJ1c2VybmFtZSI6...). - Tráfico a puertos no estándar en el firewall.
index=pan_logs sourcetype="pan:sslvpn" (override_cookie OR authentication_override) | stats count by src_ip, user | where count > 5Conclusión
CVE-2026-0257 es un recordatorio brutal de que las vulnerabilidades de autenticación en firewalls VPN ya no son solo un riesgo teórico. La explotación activa, sumada a la complejidad de parchear PAN-OS sin afectar la disponibilidad, exige a los equipos de infraestructura y seguridad actuar con urgencia.
La combinación de:
- Exposición a internet de GlobalProtect,
- Uso del mismo certificado para múltiples servicios, y
- Falta de validación estricta de cookies,
convierte este fallo en un objetivo de alto valor para atacantes. La buena noticia es que el parche existe, y las mitigaciones pueden implementarse en minutos. La mala: el margen para actuar se agota rápido.
Priorice la actualización, valide los cambios y refuerce el monitoreo. En un escenario donde el 16% de los incidentes de ransomware comienzan con acceso VPN comprometido, cada hora cuenta.