El termini de remediació que la CISA va imposar a les agències federals dels EUA per a CVE-2026-0257 va vencèr ahir, l’1 de juny. Per a les organitzacions espanyoles amb firewalls Palo Alto PAN-OS i GlobalProtect exposat, la urgència és la mateixa. Rapid7 MDR va documentar dues onades d’explotació activa d’aquesta vulnerabilitat de bypass d’autenticació — la primera el 17 de maig i la segona el 21 de maig, probablement del mateix actor — confirmant que els atacants que exploten CVE-2026-0257 no només estableixen una connexió VPN no autoritzada: obtenen accés directe a la xarxa interna de l’organització. És el segon CVE crític de GlobalProtect explotat activament en menys d’un mes.

Què se sap de CVE-2026-0257 i les dues onades d’explotació?

  • Vulnerabilitat: bypass d’autenticació (CWE-565) al portal i gateway de GlobalProtect de Palo Alto Networks PAN-OS. Un atacant remot no autenticat pot eludir les restriccions de seguretat i establir una connexió VPN no autoritzada.
  • CVSS 7.8 — tractar com a crític: Rapid7 insta explícitament a tractar aquest CVE com a crític independentment de la puntuació.
  • Condició d’explotabilitat: afecta firewalls amb GlobalProtect portal o gateway configurat + authentication override cookies habilitades. Panorama i Cloud NGFW no estan afectats.
  • Primera onada d’explotació: Rapid7 MDR va detectar explotació exitosa en múltiples clients el 17 de maig, quatre dies després de l’advisória. Els atacants van obtenir assignació d’IP VPN i accés a la xarxa interna.
  • Segona onada: el 21 de maig, probablement el mateix actor, des del hosting provider Dromatics Systems.
  • Post-explotació confirmada: accés a la xarxa interna confirmat. No es va observar moviment lateral en els casos detectats.
  • Encadenament amb zero-day RCE: alguns actors encadenen CVE-2026-0257 amb un zero-day addicional per obtenir execució remota de codi.
  • CISA KEV: afegit el 29 de maig de 2026. Termini federal: 1 de juny de 2026 — ahir.
  • Versions sense pedàç: PAN-OS 9.0, 9.1 i 10.0 són vulnerables però no rebran pedàç. Cal migrar a una branca suportada immediatament.

Per què GlobalProtect és objectiu recurrent de primer ordre

  1. GlobalProtect és la porta d’entrada a la xarxa corporativa. Un bypass d’autenticació en GlobalProtect compromet el control d’accés que separa internet de la xarxa interna.
  2. Els dispositius de vora es pedaçen més lentament que els servidors. El DBIR 2026 va confirmar que el temps mitjà de pedaçament és de 43 dies. CVE-2026-0257 va ser explotat per primera vegada quatre dies després de l’advisória.
  3. Moltes organitzacions tenen GlobalProtect exposat directament a internet. Aquesta exposició legítima el converteix automàticament en superfície d’atac prioritària.
  4. L’historial de CVEs crítics a PAN-OS és sistemàtic. Els atacants inverteixen a explotar els dispositius de seguretat perquè són el punt d’accés amb major apalancament.

Com funciona aquest atac: del bypass a l’accés VPN no autoritzat

  1. Identificació d’instàncies vulnerables. L’atacant identifica firewalls Palo Alto amb GlobalProtect exposat a internet en la configuració vulnerable.
  2. Explotació del bypass d’autenticació. Aprofitant CWE-565, l’atacant manipula l’autenticació del portal GlobalProtect.
  3. Establiment de la sessió VPN no autoritzada. El sistema assigna una IP VPN a l’atacant i li concedeix accés a la xarxa interna.
  4. Accés a recursos interns. Servidors interns, Active Directory, bases de dades i sistemes de fitxers compartits.

Lliçons clau i checklist de mitigació

Pas 1 — Verificar exposició (immediat):

  • Confirmar si l’entorn té GlobalProtect portal o gateway configurat i si les authentication override cookies estan habilitades.
  • Comprovar la versió de PAN-OS. Si és 9.0, 9.1 o 10.0: cal migrar a una versió suportada.

Pas 2 — Pedaçament (acció prioritària):

  • Actualitzar a la versió de PAN-OS que corregeix CVE-2026-0257.
  • Deshabilitar SAML no és suficient si hi ha hybrid mode en ús.

Pas 3 — Mitigació temporal:

  • Opció A: deshabilitar la funció d’Authentication Override al portal i gateway de GlobalProtect.
  • Opció B: generar un nou certificat exclusivament per a la funció d’authentication override cookies.
  • Addicional: limitar l’accés al portal GlobalProtect a rangs d’IP de confiança.

Pas 4 — Investigació forense (des del 17 de maig):

  • Cercar els IoCs de Rapid7: sol·licituds HTTP POST a /global-protect/portal/login.esp amb paràmetres saml-response anormalment llargs.
  • Revisar els logs de connexions VPN des del 17 de maig.
  • Analitzar els tech support files del firewall.

La ciberseguretat com a prioritat estratègica

CVE-2026-0257 arriba exactament quan el DBIR 2026 va confirmar que l’explotació de vulnerabilitats ha superat el robatori de credencials com a vector d’accés inicial #1. Per a les organitzacions espanyoles amb GlobalProtect, la finestra de resposta ja ha passat per als que no han actuat.

Apolo Cybersecurity: avaluació i protecció de firewalls i VPN appliances Palo Alto

A Apolo Cybersecurity ajudem organitzacions amb Palo Alto PAN-OS a verificar l’exposició davant CVE-2026-0257 i CVE-2026-0300, aplicar les mitigacions correctes, revisar els logs forenses de GlobalProtect i establir plans de migració per a versions PAN-OS EOL.

Si la teva organització té GlobalProtect exposat a internet i no tens confirmació que el sistema ha estat pedaçat, aquest dimarts al matí és el moment de verificar-ho.

__wf_reserved_inherit
Prev Post
Next Post

Tens dubtes? Estem encantats d'ajudar!

POSEU-VOS EN CONTACTE AMB NOSALTRES AVUI MATEIX!
info@apolocybersecurity.com
Responsable: Apolo Analytics S.L.
Finalitat: Respondre al teu missatge i emmagatzemar-lo en una base de dades per gestionar la teva sol·licitud.
Legitimació: Consentiment de l'interessat a l'hora de presentar el formulari.
Destinataris: Les dades no seran cedides a tercers, llevat que s'exigeixi legalment.
Drets: Pot exercir els seus drets d'accés, rectificació i supressió, entre d'altres, enviant un correu electrònic a secretaria@apolocybersecurity.Com.
Informació addicional: Podeu consultar la informació completa al nostre Política de privacitat.

Gràcies!

El vostre missatge ha estat rebut correctament.
Ups! Alguna cosa va sortir malament en enviar el formulari.
T'esperem!
Programar una trucada
Project photo
Envia'ns un correu electrònic
Project photo
+34 937948378
Project photo
Carrer 27 del BZ, 10–16, Sector BZ Zona Franca, 08040 Barcelona
Project photo
PREGUNTES FREQÜENTScontacteTERMES I CONDICIONSTreballa amb nosaltres
Accelerada per:
Certificacions:
Light Eyes forma part de la ciberseguretat Apollo
Renúnciapolítica de privacitatCookiespolítica de seguretat de la informació
Privacy Settings
Copyright © 2025 Apollo Cybersecurity