CIBERPLANETA_
18 Jun 2026 · 02:19 Ciberplaneta News Vulnerabilidades 5 min de lectura
CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente

CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente

CVE-2026-0257: Vulnerabilidad de Bypass de Autenticación en Palo Alto Networks PAN-OS

La Agencia de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha añadido el CVE-2026-0257 a su catálogo de Known Exploited Vulnerabilities (KEV), confirmando la explotación activa de una vulnerabilidad de bypass de autenticación que afecta a Palo Alto Networks PAN-OS, el sistema operativo que potencia los firewalls de nueva generación y los dispositivos de seguridad de red de la compañía. Esta vulnerabilidad permite a actores de amenaza eludir los controles de seguridad y establecer conexiones VPN no autorizadas, lo que representa un riesgo crítico para cualquier organización que dependa de esta plataforma para la protección de su perímetro de red.

Análisis Técnico

La vulnerabilidad ha sido clasificada bajo CWE-565: Reliance on Cookies without Validation and Integrity Checking. Este tipo de debilidad ocurre cuando una aplicación confía en el valor de una cookie para tomar decisiones de seguridad —como la autenticación o autorización— sin verificar adecuadamente su integridad o legitimidad. En el contexto de PAN-OS, esta falla reside en el componente encargado de gestionar las sesiones de autenticación de los usuarios de GlobalProtect u otros servicios VPN expuestos.

Un atacante remoto no autenticado podría explotar esta vulnerabilidad mediante la manipulación de cookies de sesión, logrando que el sistema PAN-OS acepte una sesión como autenticada sin haber completado el flujo de autenticación legítimo. El resultado directo es el establecimiento de una conexión VPN no autorizada, lo que puede conceder al atacante acceso a segmentos de red internos protegidos, equivalente al acceso que tendría un usuario legítimo de la VPN corporativa.

El vector de ataque es particularmente preocupante dado que:

  • No requiere credenciales válidas previas.
  • El exploit puede ejecutarse de forma remota a través de interfaces de gestión o portales VPN expuestos a Internet.
  • La naturaleza del bypass puede dificultar la detección mediante controles de autenticación multifactor (MFA) si estos no están implementados en capas adicionales.
  • La clase de vulnerabilidad CWE-565 es susceptible de ser explotada mediante herramientas de interceptación HTTP/HTTPS y manipulación de cookies de sesión.

En el momento de la publicación de este artículo, la puntuación CVSS oficial aún no se encuentra disponible en el NVD (National Vulnerability Database); no obstante, la naturaleza del bypass de autenticación y su inclusión en el catálogo KEV de CISA subrayan la severidad práctica de la amenaza.

Impacto Potencial

El impacto de una explotación exitosa del CVE-2026-0257 puede ser devastador para las organizaciones afectadas. Al conseguir una conexión VPN no autorizada, un actor malicioso obtiene un punto de presencia dentro de la red corporativa desde el cual puede:

  • Realizar movimiento lateral hacia sistemas críticos, servidores de directorio activo, bases de datos o entornos OT/ICS.
  • Exfiltrar información sensible, incluyendo datos de propiedad intelectual, información de clientes o credenciales adicionales.
  • Desplegar cargas útiles adicionales, como troyanos de acceso remoto (RATs), herramientas de post-explotación o, potencialmente, ransomware.
  • Persistir en la red durante períodos prolongados aprovechando la confianza implícita otorgada a las conexiones VPN.

Respecto al uso en campañas de ransomware, CISA indica que este dato es actualmente desconocido (Unknown). Sin embargo, es importante destacar que históricamente las vulnerabilidades de bypass de autenticación en dispositivos de acceso remoto y VPN —como las que afectan a PAN-OS, Ivanti o Fortinet— han sido activamente aprovechadas por grupos de ransomware como Cl0p, LockBit o actores de amenaza persistente avanzada (APT) para obtener acceso inicial a redes corporativas. La comunidad de seguridad debe asumir un escenario de alto riesgo mientras no se descarte esta posibilidad.

Productos Afectados

La vulnerabilidad afecta a dispositivos que ejecutan Palo Alto Networks PAN-OS. Para obtener la lista exacta y actualizada de versiones afectadas, versiones parcheadas y productos específicos del fabricante, se recomienda consultar directamente el advisory oficial:

En términos generales, los dispositivos que típicamente ejecutan PAN-OS y que podrían verse afectados incluyen:

  • Firewalls de nueva generación (NGFW) de las series PA, VM-Series y CN-Series.
  • Dispositivos Panorama utilizados para la gestión centralizada.
  • Implementaciones de GlobalProtect Gateway y GlobalProtect Portal expuestas a Internet.
  • Prisma Access, dependiendo de la configuración y versión del software subyacente.

Recomendaciones y Mitigaciones

CISA, en línea con la directiva BOD 22-01 (Binding Operational Directive), exige a las agencias del gobierno federal de los EE. UU. (FCEB) aplicar las mitigaciones correspondientes en los plazos establecidos. Para el sector privado, las siguientes acciones son de carácter urgente:

Acciones Inmediatas

  • Aplicar el parche del fabricante: Consultar y aplicar inmediatamente la actualización de PAN-OS indicada en el advisory oficial de Palo Alto Networks.
  • Restricción de acceso a interfaces expuestas: Si el parcheo inmediato no es posible, restringir el acceso a los portales GlobalProtect y a las interfaces de gestión de PAN-OS únicamente a rangos de IP de confianza mediante listas de control de acceso (ACLs).
  • Monitorización de logs: Revisar los registros de autenticación y conexiones VPN en busca de sesiones anómalas, especialmente aquellas que no correspondan a patrones de uso habituales (horarios inusuales, geolocalizaciones inesperadas, user-agents no estándar).
  • Implementar MFA robusto: Asegurarse de que la autenticación multifactor esté habilitada y configurada correctamente en capas que no puedan ser eludidas por la manipulación de cookies de sesión.

Acciones a Medio Plazo

  • Revisar las políticas de gestión de sesiones en PAN-OS y asegurarse de que las cookies de sesión estén protegidas con atributos HttpOnly, Secure y con tiempos de expiración adecuados.
  • Implementar soluciones de Network Detection and Response (NDR) o SIEM con reglas específicas para detectar comportamientos anómalos en conexiones VPN.
  • Evaluar la superficie de ataque expuesta a Internet y considerar el principio de mínima exposición para los servicios de acceso remoto.
  • Si el producto no puede ser parcheado ni mitigado de forma efectiva, CISA recomienda explícitamente discontinuar su uso hasta que una solución esté disponible.

Referencias Oficiales

// compartir: X Telegram LinkedIn WhatsApp
// ¿qué te parece este artículo?
// comentarios (0)
// sin comentarios aún
inicia sesión o regístrate para comentar.
← volver
[INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·  [INFO] CVE-2026-45321: Vulnerabilidad crítica en TanStack permite robo de credenciales mediante paquetes npm maliciosos  ·  [INFO] CVE-2026-0257: Bypass de Autenticación Crítico en Palo Alto Networks PAN-OS Explotado Activamente  ·  [INFO] CVE-2024-21182: Vulnerabilidad Crítica en Oracle WebLogic Server Explotada Activamente  ·  [INFO] CVE-2026-45247: Deserialización en Mirasvit Full Page Cache Warmer permite RCE no autenticado  ·  [INFO] CVE-2025-48595: Desbordamiento de Entero en Android Framework con Escalada de Privilegios Local  ·