CVE-2026-0257: Peligrosa Vulnerabilidad de Bypass de Autenticación en GlobalProtect de Palo Alto Networks

NoticiasSeguridad

Published:

Reading time: 4 min.

En el dinámico y siempre desafiante panorama de la ciberseguridad, la reciente divulgación de la vulnerabilidad CVE-2026-0257 por parte de Palo Alto Networks ha encendido las alarmas en la comunidad IT. Esta falla crítica, clasificada con una puntuación CVSS de 7.8 (ALTA) y con intentos de explotación ya detectados, representa un riesgo significativo para las organizaciones que dependen de los firewalls PAN-OS con GlobalProtect. Su naturaleza de bypass de autenticación podría permitir a actores maliciosos establecer conexiones VPN no autorizadas, comprometiendo la integridad y confidencialidad de la red empresarial.

¿Qué es CVE-2026-0257 y cómo funciona?

La CVE-2026-0257 es una vulnerabilidad de bypass de autenticación que afecta tanto al portal como al gateway de GlobalProtect en el software PAN-OS de Palo Alto Networks. En esencia, permite que un atacante eluda las restricciones de seguridad y establezca una conexión de red privada virtual (VPN) sin la debida autenticación. La debilidad principal, categorizada bajo CWE-565, radica en una confianza insuficiente en las cookies sin una validación e integridad adecuadas, lo que facilita el abuso de la autenticación (CAPEC-114).

Es crucial destacar que esta vulnerabilidad se ha confirmado que está siendo explotada de forma limitada en dispositivos PAN-OS sin parchear y sin mitigaciones aplicadas. Las buenas noticias son que productos como Panorama y Cloud NGFW no se ven afectados por este problema, y Prisma Access está siendo activamente actualizado por el fabricante.

Condiciones de Exposición de la Vulnerabilidad

La exposición a CVE-2026-0257 no es universal para todos los despliegues de GlobalProtect. Un firewall es vulnerable solo si cumple con las siguientes condiciones específicas:

  • Tiene configurado un portal o gateway GlobalProtect.
  • Las cookies de «authentication override» están habilitadas.
  • Existe una configuración específica de certificados asociada.

Para determinar si las cookies de «authentication override» están habilitadas en su entorno, siga estos pasos en la interfaz de gestión:

En el Portal GlobalProtect:

  1. Navegue a Network > GlobalProtect > Portals.
  2. Haga clic en el nombre de su Portal y vaya a la pestaña Agent.
  3. Haga clic en el perfil de configuración de su Agente.
  4. Vaya a la pestaña Authentication.
  5. Verifique si las opciones Generate cookie for authentication override o Accept cookie for authentication override están marcadas.

En el Gateway GlobalProtect:

  1. Navegue a Network > GlobalProtect > Gateways.
  2. Haga clic en el nombre de su Gateway y vaya a la pestaña Agent.
  3. Haga clic en el perfil de configuración de su Cliente.
  4. Vaya a la pestaña Authentication Override.
  5. Verifique si la opción Accept cookie for authentication override está marcada.

Soluciones y Mitigaciones Urgentes

Palo Alto Networks ha proporcionado actualizaciones de software para abordar esta vulnerabilidad. La acción más recomendada y definitiva es la actualización a una versión de PAN-OS parcheada. A continuación, se resumen las versiones fijas más importantes:

  • PAN-OS 12.1: Actualizar a 12.1.7 o posterior (o 12.1.4-h6 si está en ramas anteriores de 12.1.4).
  • PAN-OS 11.2: Actualizar a 11.2.12 o posterior (o versiones específicas de hotfix como 11.2.10-h7, 11.2.7-h14, 11.2.4-h17 según su versión actual).
  • PAN-OS 11.1: Actualizar a 11.1.15 o posterior (o versiones específicas de hotfix como 11.1.13-h5, 11.1.10-h25, 11.1.7-h6, 11.1.6-h32, 11.1.4-h33 según su versión actual).
  • PAN-OS 10.2: Actualizar a 10.2.18-h6 o posterior (o versiones específicas de hotfix como 10.2.16-h7, 10.2.13-h21, 10.2.10-h36, 10.2.7-h34 según su versión actual).

Nota importante sobre la actualización: Tras aplicar el parche, si su firewall está configurado para usar una cookie de anulación de autenticación para el Portal o Gateway de GlobalProtect, esta cookie se regenerará utilizando un método más seguro. Por lo tanto, los usuarios de GlobalProtect deberán autenticarse nuevamente después de la actualización de PAN-OS, incluso si tienen una cookie válida. Este es un requisito único; una vez que se reautentiquen, la funcionalidad de la cookie de anulación de autenticación volverá a la normalidad.

Recomendaciones de Mitigación Adicionales:

Mientras se planifica o ejecuta la actualización, Palo Alto Networks ofrece dos mitigaciones clave para reducir el riesgo:

  1. Usar un certificado dedicado para las cookies de anulación de autenticación: Genere un nuevo certificado exclusivamente para las cookies de «authentication override» y almacénelo de forma segura. No reutilice el certificado del portal o gateway, y no comparta este certificado con otras funciones o usuarios.
  2. Deshabilitar la anulación de autenticación: Desactive completamente las opciones de «Authentication Override» (tanto para generar como para aceptar cookies) en la configuración del portal y gateway de GlobalProtect.

Conclusión

La CVE-2026-0257 subraya la necesidad crítica de mantener una postura de seguridad proactiva y diligente en todos los entornos IT. Dado que ya se han observado intentos de explotación, la urgencia de aplicar los parches recomendados o implementar las mitigaciones es máxima. Los administradores de sistemas y profesionales de IT deben priorizar la revisión de sus configuraciones de GlobalProtect y proceder con las actualizaciones lo antes posible para proteger sus infraestructuras de red contra accesos no autorizados. La inversión en la seguridad no es un gasto, sino una salvaguarda esencial en el mundo digital actual.

- Advertisement -
Jorge Nk
Jorge Nk

Related articles