Alerta Crítica: CISA Ordena Parchear Vulnerabilidad Activa en GlobalProtect VPN de Palo Alto Hoy

Este ataque no requiere interacción del usuario ni privilegios en el sistema objetivo. Es explotable a través de la red con una baja complejidad, lo que explica su clasificación final como una amenaza crítica .

Una Escalada de Severidad de Media a Crítica

Cuando Palo Alto Networks publicó su aviso de seguridad por primera vez el 13 de mayo de 2026, clasificó la CVE-2026-0257 como una vulnerabilidad de severidad media con una puntuación CVSS de 7.8 . Muchos medios de noticias de ciberseguridad siguen difundiendo esta clasificación original.

Sin embargo, un reanálisis por parte del National Vulnerability Database (NVD), seguido por otras agencias gubernamentales, escaló dramáticamente la puntuación. A partir del 29 de mayo de 2026, el NVD actualizó el registro y la puntuación gubernamental autorizada se elevó a una calificación crítica en CVSS v3.1 de 9.1 . La Agencia de Ciberseguridad de Singapur y varias fuentes de CVE ahora también reflejan la calificación crítica de 9.1 . Esta brecha entre la puntuación inicial del proveedor y la final del gobierno fue un detalle crucial que llevó a muchas organizaciones a restar prioridad al parcheo durante las primeras semanas de explotación.

El Cronograma del Ataque: Dos Oleadas desde IPs de Vultr

El tiempo entre la divulgación y la explotación activa fue excepcionalmente corto. El equipo de Detección y Respuesta Gestionada (MDR) de Rapid7 observó las primeras explotaciones exitosas a partir del 17 de mayo, tan solo cuatro días después de la publicación del aviso . Para el 29 de mayo, CISA añadió la CVE-2026-0257 a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) y fijó una fecha límite de remediación para las agencias federales de EE. UU.: el 1 de junio de 2026 .

Se han confirmado dos oleadas de ataque distintas. La primera oleada se originó en infraestructura alojada por Vultr entre el 17 y 18 de mayo, y una segunda oleada desde infraestructura de Dromatics Systems el 21 de mayo . El análisis de inteligencia indica que se utilizaron direcciones MAC consistentes en ambas oleadas, lo que sugiere que un solo actor de amenazas es el responsable . En todos los casos observados, los atacantes falsificaron cookies de anulación de autenticación para apuntar directamente a la cuenta de administrador local en los dispositivos comprometidos .

Un dato crucial es que, si bien Rapid7 confirmó que se establecieron conexiones VPN exitosas en 8 de los 10 clientes de MDR impactados, los investigadores no han observado aún un movimiento lateral exitoso desde los dispositivos comprometidos . Este detalle proporciona una ventana de oportunidad pequeña pero crítica para que los defensores contengan la intrusión antes de que los atacantes se muevan más profundamente en las redes.

Prueba de Concepto y Productos Afectados

El riesgo se ve agravado por la disponibilidad pública de código de explotación. Múltiples informes de inteligencia confirman que existe al menos una, y probablemente múltiples, pruebas de concepto (PoC) en repositorios públicos, lo que reduce la barrera para ataques adicionales .

Los productos afectados están claramente definidos. La vulnerabilidad afecta a las versiones de PAN-OS 10.2, 11.1, 11.2 y 12.1 en firewalls de las series PA y VM, así como a Prisma Access . Dos líneas de productos importantes no están afectadas explícitamente: los dispositivos de gestión Panorama y los despliegues de Cloud NGFW (Next-Generation Firewall) .

Pasos Inmediatos de Mitigación y Remediación

Palo Alto Networks ha lanzado parches para todas las ramas de firmware soportadas. Las versiones de software actualizadas que contienen la solución son los mismos parches que ahora aplican el rechazo de las cookies falsificadas .

La estrategia de mitigación más completa implica cuatro acciones inmediatas.

Primero, actualice PAN-OS a la última versión parcheada para su rama. Las versiones corregidas para PAN-OS 12.1 incluyen la 12.1.4-h6 y 12.1.7; para 11.2, las versiones 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 y 11.2.12; y existen versiones correspondientes similares para 11.1 y 10.2 . Los inquilinos de Prisma Access deben actualizarse de igual manera a las versiones corregidas.

Segundo, si las cookies de anulación de autenticación no son absolutamente críticas para las operaciones de su negocio, deshabilite esa función por completo. Esto elimina la condición previa vulnerable por completo, no solo la explotación .

Tercero, reconfigure el despliegue de certificados. Nunca reutilice el mismo certificado para la interfaz de gestión HTTPS y para el cifrado de cookies de GlobalProtect. Usar un certificado dedicado para el cifrado de cookies rompe el mecanismo por el cual se puede construir una cookie falsificable válida .

Cuarto, comience una auditoría activa de registros (logs) de inmediato. Busque eventos de creación de sesiones anómalas, conexiones desde IPs desconocidas —particularmente desde infraestructura de atacantes conocida como el ASN de Vultr— y el uso inesperado de cookies de anulación de autenticación . Dado que el movimiento lateral aún no se ha confirmado, la auditoría de registros (logs) es actualmente su mejor herramienta para identificar si ya ha ocurrido un compromiso.

La fecha límite del 1 de junio de CISA es hoy. Las organizaciones que aún no han aplicado estos parches están operando bajo una exposición confirmada, explotada activamente y de severidad crítica. La ventana para parchear antes de necesitar una investigación forense, en lugar de tomar acción preventiva, se está cerrando.