Se ha emitido una alerta de ciberseguridad tras la confirmación de la explotación activa en la naturaleza de una vulnerabilidad que afecta el portal y el gateway de GlobalProtect en los firewalls de Palo Alto Networks (PAN-OS). El fallo, rastreado como CVE-2026-0257, permite a un atacante remoto no autenticado forjar cookies de sesión maliciosas para eludir los controles de autenticación (incluyendo el MFA) y establecer una conexión VPN no autorizada hacia la red interna de la organización.
Veredicto Analítico
- Estado: Confirmado (Explotación activa detectada; parches oficiales y mitigaciones publicadas).
- Confianza: Alta (Basado en el aviso de seguridad de Palo Alto Networks Unit 42, el análisis forense de la firma Rapid7 y su inclusión obligatoria en el catálogo KEV de CISA).
- Riesgo para SOC TDIR: Alto a Crítico. Comprometer el dispositivo de borde VPN corporativo permite a un adversario infiltrarse directamente en la red interna disfrazado como un usuario legítimo. Al no requerir fuerza bruta ni interacción del usuario, el ataque es sumamente sigiloso.
- Urgencia operativa: Inmediata (Prioridad Máxima). La explotación es técnicamente trivial y los scripts de Prueba de Concepto (PoC) ya son de dominio público. CISA ha ordenado la remediación mandatoria en plazos críticos.
- Base del veredicto: Falla estructural en la confianza y validación de integridad de las cookies (CWE-565) asociadas a la función de anulación de autenticación (Authentication Override).
Hallazgos Clave
- Componente Afectado: Portal y Gateway de GlobalProtect en firewalls físicos y virtuales que ejecutan PAN-OS (ramas 10.2, 11.1, 11.2 y 12.1) así como Prisma Access.
- Vulnerabilidad Principal (CVE-2026-0257): Falla de elusión de autenticación que alcanza una criticidad CVSS de hasta 9.1 (CVSS v3.1) / 7.8 (CVSS v4.0).
- Condición de Explotación: El firewall solo es vulnerable si tiene explícitamente habilitada la función de Accept cookie for authentication override y utiliza el mismo certificado TLS público de la interfaz para cifrar dicha cookie.
- Impacto Operativo: Los atacantes logran establecer un túnel VPN completamente funcional, burlando el directorio activo y las políticas de acceso condicional, sin requerir nunca una contraseña o token válido.
Análisis Técnico
- Vector de Ataque y Acceso Inicial: El ataque es excepcionalmente simple de ejecutar desde el exterior y se resuelve con una única petición HTTP. El adversario se conecta al servicio HTTPS expuesto del portal o gateway de GlobalProtect y extrae la clave pública del certificado TLS visible. Dado que PAN-OS confiaba en el contenido de la cookie simplemente porque estaba cifrada (sin verificar una firma de integridad separada), el atacante utiliza la clave pública obtenida para forjar una cookie de Authentication Override maliciosa. Al inyectar esta cookie forjada, el servidor asume que el usuario ya superó un proceso de autenticación previo y le concede acceso directo.
TTPs (MITRE ATT&CK):
- Acceso Inicial: Explotación de infraestructura de cara al público (Exploit Public-Facing Application / External Remote Services).
- Evasión de Defensas: Uso de material de autenticación alternativo para burlar controles (Use Alternate Authentication Material: Web Session Cookie / Bypass MFA).
- Contexto de la Amenaza: Investigaciones indican que la ola de explotación inicial apuntó frecuentemente al secuestro de sesiones vinculadas a cuentas de administrador local o genéricas que carecen de controles estrictos de comportamiento de red. Las fallas en soluciones VPN son el vector preferido por los corredores de acceso inicial (IAB) que alimentan el ecosistema de Ransomware-as-a-Service.
Recomendaciones Operativas
Para Administradores de Red / Infraestructura (Acción Inmediata)
- Actualización Urgente del Firmware (PAN-OS): Desplegar de forma inmediata los parches correctivos proporcionados por Palo Alto Networks en las versiones afectadas. Es imperativo comunicar a los colaboradores que, tras aplicar el parche, las cookies existentes se invalidarán por seguridad y los usuarios legítimos de VPN deberán reautenticarse (una sola vez) forzosamente.
- Aplicación de Mitigaciones Alternativas: Si el parcheo inmediato es inviable operativamente, se debe proceder con una de las siguientes acciones:
- Deshabilitar por completo la función de Authentication Override tanto en el portal como en el gateway.
- Si la función es estrictamente crítica para el negocio, se debe generar y aplicar un certificado único y dedicado exclusivamente para cifrar esta cookie, asegurando que no se reutilice el certificado TLS público que presenta la interfaz web.
Para el SOC (Monitoreo y Detección)
- Auditoría de Inicios de Sesión sin MFA: Configurar el SIEM para rastrear y correlacionar los registros del sistema (como authd.log) buscando túneles VPN establecidos con éxito que no posean un evento previo correlacionado de validación de identidad o desafío MFA, especialmente si la IP de origen corresponde a proveedores de hosting en la nube o nodos de salida Tor.
- Validación de Cuentas Sensibles: Monitorear el establecimiento de sesiones GlobalProtect por parte de cuentas de servicio interno o usuarios de administración de TI que, por política, no deberían estar utilizando el acceso remoto externo.
Para CTI (Inteligencia de Amenazas)
- Mapeo de Superficie Activo: Utilizar plataformas de escaneo (como Shodan o herramientas internas de gestión de superficie de ataque) para identificar si el certificado TLS que presenta la instancia de GlobalProtect está siendo compartido con otros servicios o portales internos, lo que facilitaría la recuperación de la llave pública.
- Bloqueo Preventivo de Escáneres: Monitorear el perímetro en busca de escaneos masivos dirigidos al puerto 443 del appliance que no busquen interactuar con la interfaz completa, sino que detengan la conexión inmediatamente tras recuperar la cadena de certificados TLS en el handshake.
