Un solo paquete malicioso es suficiente para reiniciar los firewalls basados en PAN-OS. Si el ataque es constante, el equipo entra en “Modo de Mantenimiento”, dejando a la red corporativa completamente desconectada y sin protección.
A veces, las funciones diseñadas específicamente para aumentar la seguridad terminan siendo el talón de Aquiles de la infraestructura. Palo Alto Networks ha emitido un aviso de seguridad confirmando la vulnerabilidad CVE-2026-0229 (CVSS: 6.6 a 8.7 dependiendo del vector), un fallo de Denegación de Servicio (DoS) que afecta a su software principal, PAN-OS.
El problema radica en una de sus características de protección de alto nivel: el Advanced DNS Security (ADNS).
La Anatomía del Apagón
A diferencia de los ataques volumétricos tradicionales (donde los atacantes inundan la red con millones de peticiones), este fallo es quirúrgico. Según el boletín publicado por el equipo de seguridad de Palo Alto:
- El Vector: Un atacante remoto, sin necesidad de autenticación, puede enviar un paquete de red específicamente diseñado (maliciosamente “crafteado”) hacia el firewall.
- El Impacto: El fallo (clasificado como CWE-754: Comprobación inadecuada de condiciones inusuales) provoca un fallo interno que obliga al sistema a reiniciarse.
- El Golpe de Gracia: Si el atacante automatiza el envío de estos paquetes repetidamente, el cortafuegos, al detectar reinicios constantes y fallos críticos, entra en Modo de Mantenimiento (Maintenance Mode) por seguridad. En este estado, el firewall deja de enrutar tráfico por completo, provocando una caída total de las comunicaciones de la empresa.
¿Quiénes están en la zona de peligro?
Para que el firewall sea vulnerable, se deben cumplir condiciones de configuración específicas que, irónicamente, son las mejores prácticas de seguridad recomendadas:
- Tener habilitada la función de Advanced DNS Security (ADNS).
- Tener un perfil de Spyware configurado con acciones restrictivas o de monitoreo (como block, sinkhole o alert).
Versiones Afectadas de PAN-OS:
- Rama 12.1: Versiones desde la 12.1.0 hasta la 12.1.3.
- Rama 11.2: Versiones desde la 11.2.0 hasta la 11.2.9.
Nota de alivio: Las plataformas en la nube y de gestión centralizada como Panorama, Cloud NGFW y Prisma Access no están afectadas. Tampoco lo están las ramas de PAN-OS 11.1 y 10.2.
La Urgencia del Parche: No hay “Plan B”
Lo más preocupante de esta vulnerabilidad es la sección de “Soluciones alternativas y mitigaciones” del reporte oficial de Palo Alto Networks: No existe ninguna. Debido a la naturaleza a bajo nivel de este fallo, es imposible crear una firma de Prevención de Amenazas (Threat Prevention Signature) para bloquear el paquete malicioso antes de que golpee el motor ADNS.
La única solución es actualizar el sistema operativo:
- Si estás en la rama 12.1, debes actualizar a PAN-OS 12.1.4 o superior.
- Si estás en la rama 11.2, debes saltar a PAN-OS 11.2.10 o superior.
Aunque Palo Alto Networks afirma que no tiene constancia de que este fallo esté siendo explotado activamente (fue descubierto de forma interna), es cuestión de tiempo antes de que los actores de amenazas hagan ingeniería inversa al parche y comiencen a intentar apagar firewalls corporativos.
