Bypass de autenticación GlobalProtect de Palo Alto Networks: Qué deben saber los equipos de seguridad sobre CVE-2026-0257

Una vulnerabilidad en el acceso remoto no es un detalle menor: puede convertirse en la puerta de entrada a toda la red corporativa.

Antecedentes

Palo Alto Networks GlobalProtect es ampliamente utilizado por empresas para proporcionar acceso remoto seguro a sistemas y aplicaciones internas. Debido a que las pasarelas VPN suelen situarse en el borde de las redes corporativas, las vulnerabilidades en estos sistemas pueden convertirse rápidamente en riesgos de alta prioridad para los equipos de seguridad.

El 13 de mayo de 2026, Palo Alto Networks reveló el CVE-2026-0257, una vulnerabilidad de evasión de autenticación que afecta al portal GlobalProtect y a los componentes de la pasarela de PAN-OS y a ciertos despliegues de acceso Prisma. La vulnerabilidad permite que un atacante remoto y no autenticado evada la autenticación de GlobalProtect y establezca una conexión VPN no autorizada cuando existen condiciones de configuración específicas.

Aunque inicialmente se calificó el problema como de gravedad media, el perfil de riesgo cambió rápidamente tras observar la explotación en estado salvaje. El 29 de mayo de 2026, CISA añadió CVE-2026-0257 a su catálogo de Vulnerabilidades Explotadas Conocidas, y Palo Alto Networks actualizó el aviso para reflejar una mayor urgencia.

Para las organizaciones que dependen de GlobalProtect para el acceso remoto, esta vulnerabilidad es importante no solo por el fallo técnico, sino también por su lugar: en el límite entre el internet público y la red interna de la empresa.

Por qué importa esta vulnerabilidad

CVE-2026-0257 afecta a despliegues de GlobalProtect donde se habilitan las cookies de anulación de autenticación junto con una configuración de certificado vulnerable.

Las cookies de anulación de autenticación están diseñadas para mejorar la experiencia del usuario permitiendo que los usuarios se reconecten sin introducir repetidamente las credenciales. En una implementación segura, estas cookies deben estar fuertemente protegidas y validadas para que solo se confie en las cookies emitidas legítimamente por el servidor.

En configuraciones vulnerables, GlobalProtect puede aceptar una cookie de autenticación falsificada como válida. Esto puede permitir que un atacante se haga pasar por un usuario y se autentique a la VPN sin conocer la contraseña del usuario.

El impacto práctico es significativo. Un atacante exitoso puede ser capaz de:

• Establecer una sesión VPN no autorizada

• Acceder a recursos internos de red accesibles desde la VPN

• Suplantar una cuenta de usuario legítima

• Utiliza la conexión VPN como punto de partida para un reconocimiento interno adicional o movimientos laterales

Productos y condiciones afectadas

Según Palo Alto Networks, CVE-2026-0257 afecta a ciertas versiones de PAN-OS y Prisma Access cuando se configura un portal o pasarela GlobalProtect y se habilitan cookies de anulación de autenticación bajo la configuración de certificado vulnerable.

Los administradores pueden verificar si las cookies de anulación de autenticación están habilitadas en la configuración del portal y la puerta de enlace de GlobalProtect comprobando si está activada la opción "Generar cookie para anulación de autenticación" o "Aceptar cookie para anulación de autenticación".

Los productos afectados incluyen las ramas PAN-OS 10.2, 11.1, 11.2 y 12.1, así como despliegues de acceso Prisma que ejecutan las versiones afectadas de 10.2 y 11.2. Panorama y Cloud NGFW no se ven afectados por esta vulnerabilidad.

Dado que las versiones fijas varían entre ramas de software y lanzamientos de mantenimiento, las organizaciones deberían verificar su versión exacta frente al aviso oficial de seguridad de Palo Alto Networks en lugar de depender únicamente del número de lanzamiento principal. Palo Alto Networks mantiene aquí la información más reciente sobre versiones afectadas y remediación.

Qué deben buscar los equipos de seguridad

Debido a que esta vulnerabilidad afecta a la autenticación VPN, los equipos de seguridad deben revisar tanto la configuración como la actividad de autenticación.

Señales importantes a investigar incluyen:

• Inicios de sesión de GlobalProtect usando autenticación basada en cookies desde direcciones IP de origen desconocidas

• Intentos de autenticación en cuentas privilegiadas o de administrador local

• Inicios de sesión exitosos de VPN desde proveedores de alojamiento, infraestructura en la nube o geografías inesperadas

• Metadatos inusuales de GlobalProtect en el cliente, como nombres de host genéricos o detalles inesperados del sistema operativo

• Sesiones VPN creadas fuera del horario laboral habitual o desde ubicaciones inusuales

• Nuevas direcciones IP asignadas por VPN asociadas a eventos de autenticación sospechosos

Estas señales son especialmente importantes para portales y gateways GlobalProtect orientados a internet. Incluso si no se observa ningún movimiento lateral de inmediato, cualquier autenticación VPN exitosa sospechosa debe investigarse como un posible evento de acceso inicial.

Detección RidgeBot

RidgeBot detecta automáticamente CVE-2026-0257 validando la explotabilidad contra el objetivo en lugar de depender solo de comprobaciones pasivas de versión o coincidencia de banners.

A un nivel general, RidgeBot verifica primero que el objetivo es un servicio GlobalProtect. A continuación, realiza una validación controlada del comportamiento de bypass de autenticación comprobando si el servicio acepta una cookie de autenticación especialmente diseñada de forma que indique que la configuración vulnerable está presente.

Mitigación recomendada

La principal solución es actualizar los despliegues afectados de PAN-OS y Prisma Access a las versiones fijas proporcionadas por Palo Alto Networks.

Los equipos de seguridad deben:

• Actualiza todos los portales y gateways GlobalProtect que generen o acepten cookies de anulación de autenticación, incluyendo componentes internos y externos.

• Para despliegues híbridos de Prisma Access, actualiza todos los NGFWs locales a las versiones fijas de PAN-OS para mantener la compatibilidad de cookies con Prisma Access.

• Evita dejar el entorno parcialmente actualizado durante largos periodos, ya que versiones mixtas pueden causar problemas de compatibilidad con cookies de autenticación.

• Si no se requieren cookies de anulación de autenticación, desactivalas para reducir la exposición.

• Revisa los registros de autenticación de GlobalProtect para detectar inicios de sesión sospechosos basados en cookies, sesiones VPN inusuales, uso de cuentas privilegiadas o acceso desde direcciones IP desconocidas.

Para actualizaciones por fases, Palo Alto Networks ofrece una opción de compatibilidad temporal para entornos de versiones mixtas. Una vez que todos los componentes se actualicen, se debe volver a activar la validación estricta de cookies para aplicar completamente la corrección de seguridad.

Conclusión

CVE-2026-0257 es una vulnerabilidad grave de bypass de autenticación en Palo Alto Networks GlobalProtect. Aunque la vulnerabilidad depende de condiciones de configuración específicas, la característica afectada es lo suficientemente común como para que las organizaciones expuestas la traten como una prioridad urgente de parche.

El riesgo se amplifica por el papel que desempeña GlobalProtect en entornos empresariales. Las pasarelas VPN suelen ser puntos de acceso confiables a redes internas, y un bypass de autenticación en esta capa puede proporcionar a los atacantes una ruta directa hacia sistemas sensibles.

Las organizaciones que ejecuten versiones afectadas de PAN-OS o Prisma Access deben actualizar inmediatamente, verificar su configuración de cookies de anulación de autenticación y revisar los registros de autenticación de VPN en busca de signos de actividad sospechosa.

RidgeBot ayuda a los equipos de seguridad a validar la exposición de CVE-2026-0257 de forma segura y automática, permitiendo a los defensores identificar rápidamente sistemas explotables y priorizar la remediación basada en el riesgo real.

Tomado de: RidgeSecurity

Tambien le puede interesar

1. Cuando la confianza se convierte en un arma: dentro de las campañas de ataque de UNC6040 y UNC6395 Salesforce