Palo Alto Networks advierte sobre una falla de alta severidad (CVSS 7.7) que permite a atacantes no autenticados paralizar firewalls mediante solicitudes repetitivas, afectando a múltiples versiones de PAN-OS y Prisma Access
La disponibilidad de la red es tan crítica como su confidencialidad, y hoy Palo Alto Networks ha emitido una alerta que pone en riesgo precisamente eso. Un nuevo boletín de seguridad detalla la vulnerabilidad CVE-2026-0227 , un fallo en el software PAN-OS que podría dejar a las organizaciones sin su primera línea de defensa.
El problema reside específicamente en el manejo de solicitudes en el gateway y portal de GlobalProtect. Si se explota con éxito, el firewall no solo deja de responder, sino que entra en un estado de “Modo Mantenimiento”, requiriendo intervención manual para restaurar el servicio.
El Fallo: DoS sin Autenticación
Lo que hace peligroso a este fallo es la barrera de entrada casi nula para el atacante:
- Vector de ataque: Rojo.
- Complejidad: Baja.
- Privilegios: Ninguno (No requiere autenticación).
- Mecanismo: Un atacante puede enviar una serie de solicitudes maliciosas al portal o gateway de GlobalProtect. El software no se maneja adecuadamente estas condiciones excepcionales (CWE-754), provocando un colapso del servicio que fuerza al dispositivo a reiniciarse o bloquearse en modo de mantenimiento.
¿Quién está afectado?
La vulnerabilidad tiene un alcance amplio, lo que afecta a configuraciones de PAN-OS NGFW y Prisma Access que tienen habilitado GlobalProtect
Versiones Afectadas de PAN-OS:
- 12.1: Versiones anteriores a 12.1.3-h3 y 12.1.4.
- 11.2: Versiones anteriores a 11.2.4-h15, 11.2.7-h8 y 11.2.10-h2.
- 11.1: Versiones anteriores a 11.1.4-h27, 11.1.6-h23, 11.1.10-h9 y 11.1.13.
- 10.2: Múltiples ramas afectadas, incluyendo versiones anteriores a 10.2.7-h32, 10.2.10-h30, 10.2.13-h18, 10.2.16-h6 y 10.2.18-h1.
- 10.1: Versiones anteriores al 10.1.14-h20.
Prisma Access:
- Versiones anteriores a 11.2.7-h8 y 10.2.10-h29. (Nota: Palo Alto Networks indica que la mayoría de los clientes de Prisma Access ya se han actualizado automáticamente).
Solución y mitigación
No existen soluciones temporales conocidas para este problema. La única vía segura es la actualización del software
Acción Requerida: Los administradores de red deben planificar ventanas de mantenimiento urgentes para aplicar los parches correspondientes según su versión de PAN-OS:
- Actualizar a PAN-OS 12.1.4, 11.2.10-h2, 11.1.13, o las versiones “hotfix” específicas listadas en el boletín oficial.
Aunque no hay evidencia de explotación activa (“in the wild”) en este momento, la naturaleza del fallo (DoS automatizable) lo convierte en un candidato ideal para ataques de extorsión o distracciones durante intrusiones más complejas.
