(https://i.imgur.com/DatgMrD.jpeg)
Palo Alto Networks ha emitido una alerta de seguridad urgente tras confirmar la explotación activa de una vulnerabilidad crítica en PAN-OS que permite a atacantes eludir mecanismos de autenticación y establecer conexiones VPN no autorizadas a través de GlobalProtect.
La falla, identificada como CVE-2026-0257, afecta específicamente a los componentes Portal y Gateway de GlobalProtect y ha sido catalogada con una puntuación CVSS de 7.8, lo que la convierte en una amenaza de alta gravedad para organizaciones que dependen de esta tecnología para proporcionar acceso remoto seguro a empleados y usuarios autorizados.
La compañía confirmó que la vulnerabilidad ya está siendo explotada en ataques reales, lo que aumenta la urgencia para que administradores y equipos de seguridad implementen las medidas de mitigación correspondientes lo antes posible.
¿Qué es CVE-2026-0257 y por qué representa un riesgo importante?CVE-2026-0257 es una vulnerabilidad de evasión de autenticación que afecta al sistema operativo PAN-OS utilizado por los dispositivos de seguridad de Palo Alto Networks.
Según la información técnica publicada por la compañía, un actor malicioso puede aprovechar este fallo para omitir determinados controles de autenticación dentro de los portales y puertas de enlace de GlobalProtect.
Como consecuencia, un atacante podría iniciar conexiones VPN sin pasar por los procesos de validación esperados, obteniendo acceso a recursos internos protegidos por la infraestructura de acceso remoto de la organización.
Aunque actualmente no existen evidencias públicas de movimientos laterales o actividades posteriores al acceso, la posibilidad de establecer sesiones VPN no autorizadas supone un riesgo significativo para la confidencialidad, integridad y disponibilidad de los sistemas corporativos.
Explotación activa detectada desde mayo de 2026Palo Alto Networks informó que la actividad maliciosa relacionada con CVE-2026-0257 fue observada por primera vez el 17 de mayo de 2026.
Hasta el momento, la identidad del grupo o actor de amenazas responsable de los intentos de explotación permanece desconocida.
Sin embargo, la investigación realizada por la compañía indica que la campaña no se limitó a simples escaneos automatizados de Internet.
Los atacantes realizaron intentos reales de conexión contra dispositivos vulnerables, logrando en algunos casos establecer sesiones VPN exitosas.
Según Palo Alto Networks, solamente una pequeña parte de los dispositivos analizados llegó a generar eventos de conexión efectiva en la pasarela GlobalProtect, lo que sugiere una campaña dirigida y relativamente limitada en alcance.
Aun así, el hecho de que exista explotación confirmada en entornos reales convierte esta vulnerabilidad en una prioridad inmediata para los responsables de ciberseguridad.
Cómo funciona el ataque contra GlobalProtectGlobalProtect es una de las soluciones VPN empresariales más utilizadas para proporcionar acceso remoto seguro a usuarios corporativos.
La plataforma permite a empleados y socios conectarse a recursos internos desde ubicaciones externas mediante túneles cifrados y controles de autenticación avanzados.
La vulnerabilidad CVE-2026-0257 afecta precisamente a los mecanismos encargados de validar las conexiones entrantes.
Un atacante que explote con éxito esta debilidad puede evitar ciertos controles de seguridad y lograr que el sistema establezca una sesión VPN aparentemente legítima.
Esto abre la puerta a múltiples escenarios de riesgo, incluyendo:
- Acceso no autorizado a redes corporativas.
- Reconocimiento interno de infraestructura.
- Enumeración de recursos empresariales.
- Obtención de información sensible.
- Preparación para ataques posteriores.
- Despliegue de malware o ransomware.
- Robo de credenciales corporativas.
Aunque Palo Alto Networks señala que todavía no se han detectado actividades posteriores al acceso, los expertos advierten que la explotación exitosa de una VPN corporativa suele ser el primer paso en ataques más complejos.
Indicadores de compromiso publicados por Palo Alto Networks
Con el objetivo de ayudar a las organizaciones a detectar posibles intentos de explotación, Palo Alto Networks publicó una serie de indicadores de compromiso (IoC) asociados con la actividad observada.
Direcciones IP vinculadas a la campañaLos administradores deben revisar registros y eventos relacionados con las siguientes direcciones IP:
- 23.128.228[.]6
- 104.207.144[.]154
- 146.19.216[.]119
- 146.19.216[.]120
- 146.19.216[.]125
- 179.43.172[.]213
- 185.195.232[.]139
- 198.12.106[.]60
- 202.144.192[.]47
La presencia de conexiones procedentes de estas direcciones no confirma por sí sola una intrusión exitosa, pero sí debe considerarse un indicador que requiere investigación adicional.
Nombres de host y direcciones MAC sospechosasLa empresa también compartió diversos artefactos identificados durante los intentos de explotación:
Direcciones MAC:- AA:BB:cc:DD:EE
- 00:11:22:33:44:55
Nombres de host:- WINDOWS-PORTÁTIL-001
- ESCRITORIO-GP01
- GP-CLIENT
Estos elementos pueden servir como referencia para identificar conexiones asociadas con herramientas de prueba o intentos de explotación basados en pruebas de concepto.
Señales específicas que deben buscar los administradoresPalo Alto Networks recomienda revisar cuidadosamente los registros de GlobalProtect en busca de eventos conectados a la pasarela que presenten determinadas características observadas en la prueba de concepto utilizada para explotar la vulnerabilidad.
Entre los indicadores más relevantes destacan:
Configuración del sistema operativo- endpoint_os_version: Microsoft Windows 10 Pro 64 bits
Información de dominio- source_user_info.domain: vacío
La aparición repetida de estos parámetros en registros de autenticación puede indicar intentos de explotación o actividades relacionadas con herramientas automatizadas diseñadas para aprovechar CVE-2026-0257.
La vulnerabilidad ya forma parte del catálogo KEV de CISALa gravedad del problema quedó reflejada cuando la Agencia de Ciberseguridad y Seguridad de Infraestructuras de Estados Unidos (CISA) incorporó CVE-2026-0257 a su catálogo de Vulnerabilidades Explotadas Conocidas (Known Exploited Vulnerabilities o KEV).
La inclusión en este listado significa que existen evidencias verificadas de explotación activa en entornos reales y que la amenaza representa un riesgo significativo para organizaciones gubernamentales y privadas.
Como resultado, CISA ordenó a las agencias pertenecientes al Poder Ejecutivo Civil Federal (FCEB) aplicar mitigaciones obligatorias antes del 1 de junio de 2026.
La inclusión en el catálogo KEV suele considerarse uno de los indicadores más importantes para priorizar actividades de remediación dentro de los programas de gestión de vulnerabilidades.
Recomendaciones para proteger los entornos PAN-OSAnte la confirmación de explotación activa, los expertos recomiendan actuar de inmediato para reducir el riesgo de compromiso.
Las medidas prioritarias incluyen:
- Actualizar PAN-OS a las versiones corregidas por Palo Alto Networks.
- Revisar todos los registros de autenticación de GlobalProtect.
- Buscar coincidencias con los IoC publicados.
- Monitorizar conexiones VPN inusuales.
- Implementar segmentación de red para limitar accesos.
- Fortalecer los controles de autenticación multifactor.
- Realizar auditorías de acceso remoto.
- Investigar cualquier sesión VPN sospechosa establecida desde mayo de 2026.
Un recordatorio del riesgo asociado a las infraestructuras VPNLa explotación activa de CVE-2026-0257 demuestra una vez más que las plataformas VPN continúan siendo objetivos prioritarios para actores de amenazas avanzados.
Los sistemas de acceso remoto representan una puerta de entrada directa a los activos más valiosos de una organización, por lo que cualquier vulnerabilidad en estos componentes puede convertirse rápidamente en un vector crítico de ataque.
Para las empresas que utilizan GlobalProtect y PAN-OS, la prioridad debe centrarse en aplicar los parches disponibles, analizar los registros históricos y reforzar la supervisión de accesos remotos. En un panorama de amenazas cada vez más agresivo, responder rápidamente a vulnerabilidades explotadas activamente puede marcar la diferencia entre una simple alerta de seguridad y una brecha de gran impacto.
Fuente: https://thehackernews.com/