**Palo Alto Networks** ha actualizado su aviso sobre **CVE-2026-0257**, una falla que afecta el portal y la puerta de enlace GlobalProtect de PAN-OS. Inicialmente calificada como de severidad Media, la vulnerabilidad ha sido elevada a Alta debido a la explotación activa. ## La Vulnerabilidad: CVE-2026-0257 La vulnerabilidad, rastreada como **CVE-2026-0257**, permite a los atacantes eludir las restricciones de seguridad y establecer conexiones VPN no autorizadas. Según el aviso de **Palo Alto**, la falla reside en el portal y la puerta de enlace GlobalProtect del software PAN-OS. La evaluación inicial consideró el impacto de la falla como de severidad Media debido a requisitos de configuración específicos: los dispositivos deben tener habilitadas las cookies de anulación de autenticación y una configuración de certificado particular. ## Explotación Activa y Actualización de Severidad El viernes, **Palo Alto Networks** revisó su aviso, confirmando la explotación activa de la vulnerabilidad en dispositivos sin parches. Esto provocó un aumento en la calificación de severidad a Alta. "Palo Alto Networks ha tenido conocimiento de intentos limitados de explotación en dispositivos PAN-OS sin parches y sin mitigaciones aplicadas", afirma el aviso actualizado. ## Observaciones de Rapid7 Esta actualización se alinea con advertencias anteriores de **Rapid7**, quienes observaron intentos de explotación contra numerosos clientes a partir del 17 de mayo de 2026. "Rapid7 MDR identificó una explotación exitosa en numerosos clientes, sin embargo, no observamos ninguna indicación de movimiento lateral exitoso desde los dispositivos. La fecha más temprana de explotación observada fue el 17 de mayo de 2026", informó **Rapid7**. Además, **Rapid7** señaló que "A partir del 29 de mayo de 2026, esta vulnerabilidad ha sido añadida al KEV de **CISA**". ## Detalles del Ataque Según **Rapid7**, los atacantes se están autenticando en las puertas de enlace GlobalProtect utilizando cookies de anulación de autenticación falsificadas dirigidas a la cuenta de administrador local. La explotación se observó por primera vez el 18 de mayo desde infraestructura alojada por **Vultr**, seguida de una segunda ola el 21 de mayo originada en Dromatics Systems. Si bien los atacantes a veces se conectaban con éxito a redes internas a través de VPN utilizando cookies falsificadas, **Rapid7** observó casos en los que no se pudo establecer una sesión VPN completa a pesar de que el dispositivo aceptaba la cookie falsificada. ## Análisis de Causa Raíz La investigación de **Rapid7** reveló que los dispositivos afectados tenían habilitadas las cookies de anulación de autenticación de GlobalProtect y estaban configurados para permitir la falsificación de cookies de autenticación válidas. La vulnerabilidad se deriva del proceso de validación de PAN-OS para las cookies de anulación de autenticación. El dispositivo VPN GlobalProtect descifra estas cookies utilizando una clave privada configurada y confía en el contenido descifrado sin verificación de firma. Si el mismo certificado se reutiliza tanto para servicios HTTPS como para cookies de anulación de autenticación, los atacantes pueden obtener la clave pública correspondiente a través de la sesión HTTPS. Esto les permite crear cookies falsificadas que el dispositivo aceptará como legítimas. ## Exploit de Prueba de Concepto **Rapid7** desarrolló un exploit de prueba de concepto para demostrar cómo un atacante puede recuperar certificados públicos expuestos por un portal o puerta de enlace GlobalProtect, generar una cookie de anulación de autenticación falsificada para un usuario arbitrario y autenticarse sin credenciales válidas. Este PoC se autenticó con éxito en una puerta de enlace GlobalProtect sin parches. ## Remediación y Mitigación Se recomienda encarecidamente a las organizaciones que utilizan dispositivos VPN GlobalProtect que instalen inmediatamente las últimas actualizaciones de seguridad para parchear la falla. Las estrategias de mitigación alternativas incluyen deshabilitar la función de anulación de autenticación o utilizar un certificado distinto para esta función, asegurando que no se comparta con otros servicios en el dispositivo. **CISA** ha añadido la falla a su catálogo de Vulnerabilidades Explotadas Conocidas, exigiendo a las agencias federales que la mitiguen antes del 1 de junio de 2026.  ## La Brecha de Validación: Las Pruebas de Penetración Automatizadas Responden Una Pregunta. Necesitas Seis. Las herramientas automatizadas de pruebas de penetración ofrecen un valor real, pero fueron diseñadas para responder una pregunta: ¿puede un atacante moverse por la red? No fueron diseñadas para probar si tus controles bloquean amenazas, si tus reglas de detección se activan o si tus configuraciones en la nube son seguras. Esta guía cubre las 6 superficies que realmente necesitas validar. [Descargar Ahora](https://hubs.li/Q048zztN0)