### CVE-2026-0257: Omisión de Autenticación en PAN-OS La vulnerabilidad, identificada como **CVE-2026-0257** (puntuación CVSS: 7.8), implica una omisión de autenticación que podría ser explotada por actores maliciosos para establecer conexiones VPN. Según **Palo Alto Networks**, el problema afecta a firewalls con el portal o gateway de GlobalProtect configurados cuando las cookies de anulación de autenticación están habilitadas y existe una configuración de certificado específica. "Las vulnerabilidades de omisión de autenticación en el portal y gateway de GlobalProtect del software PAN-OS® de Palo Alto Networks permiten al atacante eludir las restricciones de seguridad y establecer una conexión VPN no autorizada", declaró la compañía en su aviso publicado el 13 de mayo de 2026. ### Explotación en la Naturaleza En una actualización del 29 de mayo de 2026, **Palo Alto Networks** reconoció "intentos limitados de exploit en dispositivos PAN-OS sin parches y sin mitigaciones aplicadas". Esto sigue a un informe de **Rapid7**, que identificó la explotación exitosa en numerosos clientes, con los primeros intentos que datan del 17 de mayo de 2026 y una ola posterior el 21 de mayo. **Rapid7** atribuye ambos conjuntos de explotación al mismo actor de amenazas. La segunda ola de actividad incluyó la asignación de IP VPN después de la autenticación de cookies, otorgando a los atacantes acceso a la red interna en dos instancias. No se observó actividad posterior en los entornos de clientes donde se estableció una sesión VPN. ### Evaluación de Rapid7 "Una omisión de autenticación en un dispositivo VPN empresarial expuesto al borde puede tener un impacto significativo en las organizaciones afectadas", advirtió **Rapid7**. "Por lo tanto, se insta a las organizaciones que ejecutan dispositivos afectados a actualizar a un parche proporcionado por el proveedor de manera urgente." ### Estrategias de Mitigación Como mitigaciones temporales, **Palo Alto Networks** recomienda deshabilitar la función de anulación de autenticación o generar un nuevo certificado para usarlo exclusivamente para la función de anulación de autenticación. ### Explotación de FortiClient EMS La explotación de **CVE-2026-0257** sigue a un informe de **Arctic Wolf** sobre la continua utilización maliciosa de una falla de seguridad crítica en las implementaciones de FortiClient Endpoint Management Server (EMS) (**CVE-2026-35616**, puntuación CVSS: 9.1). Los actores de amenazas están aprovechando esta vulnerabilidad para distribuir malware que roba credenciales conocido como EKZ Infostealer.