El plazo de remediación que CISA impuso a las agencias federales estadounidenses para CVE-2026-0257 expiró ayer, 1 de junio. Para las organizaciones españolas con firewalls Palo Alto PAN-OS y GlobalProtect expuesto, la urgencia es la misma. Rapid7 MDR documentó dos olas de explotación activa de esta vulnerabilidad de bypass de autenticación — la primera el 17 de mayo y la segunda el 21 de mayo, probablemente del mismo actor — confirmando que los atacantes que explotan CVE-2026-0257 no solo establecen una conexión VPN no autorizada: obtienen acceso directo a la red interna de la organización. Es el segundo CVE crítico de GlobalProtect explotado activamente en menos de un mes. El primero, CVE-2026-0300 (RCE root), lo analizamos aquí el 7 de mayo.

¿Qué se sabe de CVE-2026-0257 y las dos olas de explotación?

Los hechos documentados por Palo Alto Networks, Rapid7 MDR, CISA, BleepingComputer, The Hacker News, Gridinsoft y RedLegg son los siguientes:

  • Vulnerabilidad: bypass de autenticación (CWE-565: Reliance on Cookies without Validation and Integrity Checking) en el portal y gateway de GlobalProtect de Palo Alto Networks PAN-OS. Un atacante remoto no autenticado puede eludir las restricciones de seguridad y establecer una conexión VPN no autorizada a la red protegida por el firewall.
  • CVSS 7.8 (High) — tratár como crítico: Rapid7 urge explícitamente tratar este CVE como crítico independientemente del score. Una vez establecida la conexión VPN no autorizada, el atacante está dentro de la red corporativa con acceso legítimo aparente.
  • Condición de explotabilidad: afecta firewalls con GlobalProtect portal o gateway configurado + authentication override cookies habilitadas + una configuración específica de certificado. Panorama y Cloud NGFW no están afectados.
  • Advisory inicial: 13 mayo 2026 (Palo Alto Networks).
  • Primera ola de explotación: Rapid7 MDR detectó explotación exitosa en múltiples clientes con la fecha más temprana el 17 de mayo, cuatro días después del advisory. Los atacantes obtuvieron asignación de IP VPN, lo que les dio acceso a la red interna.
  • Segunda ola: el 21 de mayo Rapid7 documentó una segunda ola de explotación. La misma dirección MAC sugiere el mismo actor. La segunda ola originó desde el hosting provider Dromatics Systems.
  • Post-explotación confirmada: en los casos analizados por Rapid7, los atacantes obtuvieron asignación de IP VPN y acceso a la red interna. No se observó movimiento lateral en los casos detectados — pero el acceso a la red interna ya es un compromiso completo del perímetro.
  • Encadenamiento con zero-day RCE: diversos investigadores confirman que CVE-2026-0257 está siendo encadenado con un zero-day adicional para obtener ejecución remota de código, elevando el riesgo real más allá del CVSS 7.8.
  • CISA KEV: añadido el 29 de mayo de 2026. Plazo de remediación para agencias federales (FCEB): 1 de junio de 2026 — ayer.
  • Versiones sin parche: PAN-OS 9.0, 9.1 y 10.0 son vulnerables pero no recibirán parche al ser versiones EOL. Las organizaciones en estas versiones deben migrar a una rama soportada de inmediato.
  • IoCs documentados: solicitudes HTTP POST inusuales a /global-protect/portal/login.esp con parámetros saml-response anormalmente largos.

Por qué GlobalProtect es objetivo recurrente de primer orden

CVE-2026-0257 es el segundo CVE crítico de GlobalProtect explotado activamente en menos de un mes — el anterior fue CVE-2026-0300 (RCE root), que analizamos el 7 de mayo. Este patrón no es casual. Cuatro factores explican por qué GlobalProtect es un objetivo permanente:

  1. GlobalProtect es la puerta de entrada a la red corporativa. Un bypass de autenticación en GlobalProtect no compromete un servidor periférico: compromete el control de acceso que separa internet de la red interna. Con una sesión VPN no autorizada establecida, el atacante está dentro con tráfico que parece legítimo para los controles internos que confían en la VPN.
  2. Los dispositivos de borde se parchean más lento que los servidores. Los firewalls y VPN appliances requieren ventanas de mantenimiento planificadas, coordinación con equipos de red y pruebas de impacto en la conectividad. El DBIR 2026 que analizamos la semana pasada confirmó que el tiempo medio de parcheo es de 43 días. CVE-2026-0257 fue explotado por primera vez cuatro días después del advisory.
  3. Muchas organizaciones tienen GlobalProtect expuesto directamente a internet. Es el uso previsto — es el endpoint de acceso remoto corporativo. Esa exposición legítima lo convierte automáticamente en superficie de ataque prioritaria para cualquier actor que busque acceso inicial a redes corporativas.
  4. El historial de CVEs críticos en PAN-OS es sistemático. ProxyShell para Exchange, Log4Shell para aplicaciones Java, y ahora una secuencia de CVEs críticos en PAN-OS. Los atacantes invierten en explotar los dispositivos de seguridad porque son el punto de máximo apalancamiento.

Cómo funciona este ataque: del bypass al acceso VPN no autorizado

La explotación de CVE-2026-0257 documentada por Rapid7 sigue estos pasos:

  1. Identificación de instancias vulnerables. El atacante identifica firewalls Palo Alto con GlobalProtect expuesto a internet en la configuración vulnerable (portal o gateway con authentication override cookies habilitadas). La endpoint /global-protect/portal/login.esp es accesible públicamente en estas configuraciones.
  2. Explotación del bypass de autenticación. Aprovechando CWE-565 (confianza en cookies sin validación de integridad), el atacante manipula la autenticación del portal GlobalProtect. El mecanismo de authentication override cookies asume implícitamente la integridad de los valores de cookie, y CVE-2026-0257 explota la ausencia de validación correcta de esos valores.
  3. Establecimiento de sesión VPN no autorizada. Con el bypass exitoso, el sistema asigna una IP VPN al atacante y le concede acceso a la red interna. La conexión aparece como tráfico VPN legítimo desde la perspectiva de los sistemas de monitorización internos.
  4. Acceso a recursos internos. Con la IP VPN asignada, el atacante tiene acceso de red a los recursos internos que GlobalProtect protégía: servidores internos, Active Directory, bases de datos, sistemas de archivos compartidos y cualquier otro recurso accesible desde la red VPN.
  5. Encadenamiento con zero-day RCE (en ataques avanzados). Investigadores documentan que algunos actores encadenan CVE-2026-0257 con un zero-day adicional de RCE para obtener ejecución de código en el propio firewall, lo que elevaría el control del atacante al dispositivo que protégía la red.

Lecciones clave y checklist de mitigación: qué debe hacer tu equipo ahora mismo

Paso 1 — Verificar exposición (inmediato):

  • Confirmar si el entorno tiene GlobalProtect portal o gateway configurado.
  • Verificar si authentication override cookies están habilitadas (en la configuración del portal o gateway de GlobalProtect). Si están habilitadas y la configuración de certificado coincide, el sistema es vulnerable hasta que se parchee.
  • Comprobar la versión de PAN-OS. Si es 9.0, 9.1 o 10.0, no hay parche: migrar a versión soportada es la única opción.

Paso 2 — Parcheo (acción prioritaria):

  • Actualizar a la versión de PAN-OS que corrige CVE-2026-0257. Consultar el advisory oficial de Palo Alto Networks para las versiones exactas de cada rama.
  • Deshabilitar SAML no es suficiente si hay hybrid mode en uso. La única mitigación fiable es actualizar.

Paso 3 — Mitigación temporal (si el parcheo inmediato no es posible):

  • Opción A: deshabilitar la función de Authentication Override en el portal y gateway de GlobalProtect si no es necesaria para la operativa.
  • Opción B: generar un nuevo certificado únicamente para la función de authentication override cookies, aislando el vector de explotación.
  • Adicional: limitar el acceso al portal GlobalProtect a rangos de IP de confianza mediante ACLs upstream, donde la operativa lo permita. Es una medida de reducción de superficie, no una mitigación completa.
  • Requerir certificados de cliente además de credenciales de usuario para la autenticación en GlobalProtect.

Paso 4 — Investigación forense (obligatoria si el sistema pudo estar expuesto desde el 17 de mayo):

  • Buscar los IoCs documentados por Rapid7: solicitudes HTTP POST a /global-protect/portal/login.esp con parámetros saml-response anormalmente largos en los logs del firewall.
  • Revisar los logs de conexiones VPN desde el 17 de mayo en busca de sesiones VPN autenticadas desde IPs desconocidas o en horarios inusuales.
  • Verificar si hay tráfico lateral desde IPs del pool VPN hacia sistemas internos que no corresponda a usuarios legítimos.
  • Analizar los tech support files del firewall (disponibles desde el PAN-OS). Rapid7 utilizó estos archivos para confirmar la explotación en sus clientes.

La ciberseguridad como prioridad estratégica

CVE-2026-0257 llega exactamente cuando el DBIR 2026 — que analizamos la semana pasada — confirmó que la explotación de vulnerabilidades ha superado al robo de credenciales como vector de acceso inicial #1. Los dispositivos de borde — firewalls, VPN appliances, gateways de acceso remoto — son el objetivo prioritario de este cambio de paradigma porque combinan exposición directa a internet, alta confianza implícita en los accesos que gestionan y ciclos de parcheo lentos. Dos olas de explotación en cuatro días, acceso a red interna confirmado, y un zero-day de RCE encadenado: para las organizaciones españolas con GlobalProtect, la ventana de respuesta ya ha pasado para los que no han actuado. Para los que aún no lo han verificado, la ventana sigue abierta — pero no por mucho tiempo.

Apolo Cybersecurity: evaluación y protección de firewalls y VPN appliances Palo Alto

En Apolo Cybersecurity ayudamos a organizaciones con Palo Alto PAN-OS a verificar la exposición ante CVE-2026-0257 y CVE-2026-0300, aplicar las mitigaciones correctas mientras se planifica el parcheo, revisar los logs forenses de GlobalProtect en busca de explotación previa desde el 17 de mayo, auditar la configuración de authentication override cookies y certificados, y establecer planes de migración para versiones PAN-OS EOL que no recibirán parche.

Si tu organización tiene GlobalProtect expuesto a internet y no tienes confirmación de que el sistema ha sido parcheado o mitigado ante CVE-2026-0257, este martes por la mañana es el momento de verificarlo.

__wf_reserved_inherit
Prev Post
Next Post

¿Tienes dudas? ¡Estamos encantados de ayudarte!

¡CONTÁCTANOS HOY!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalidad: Responder a tu mensaje y almacenaje en base de datos para gestionar tu solicitud.
Legitimación: Consentimiento del interesado al enviar el formulario.
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Puedes ejercer tus derechos de acceso, rectificación y supresión, entre otros, enviando un correo a secretaria@apolocybersecurity.Com.
Información adicional: Puedes consultar la información completa en nuestra Política de Privacidad.

¡Gracias !

Su mensaje a sido recibido correctamente.
Oops! Algo a ido mal a la jora de enviar el formulario.
te esperamos!
agenda una llamada
Project photo
Envíanos un mail
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
FAQScontactoTÉRMINOS Y CONDICIONESTrabaja con Nosotros
Acelerados por:
Certificaciones:
Light Eyes forma parte de Apolo Cybersecurity
Aviso legalpolítica de privacidadCookiespolítica seguridad de la información
Privacy Settings
Copyright © 2025 Apolo Cybersecurity