Palo Alto advierte sobre la explotación activa de la falla de VPN GlobalProtect de PAN-OS

Por:
En:
En: Noticias
Etiquetado: , , , , , , , , ,
Con: 0 comentarios

Ravie Lakshmanan15 de junio de 2026Vulnerabilidad/Seguridad VPN

Palo Alto Networks ha revelado que ha observado una «explotación activa» de una vulnerabilidad PAN-OS recientemente revelada por un actor de amenazas desconocido para obtener acceso no autorizado a Protección global portales.

La vulnerabilidad en cuestión es CVE-2026-0257 (Puntuación CVSS: 7,8), una falla de omisión de autenticación que afecta los componentes del portal y la puerta de enlace del software PAN-OS y que podría ser aprovechada por delincuentes para configurar conexiones VPN.

Según la empresa de seguridad de redes, un mal actor podría aprovechar el defecto de seguridad para eludir los controles de seguridad e iniciar conexiones VPN.

La vulnerabilidad se ha explotado de forma natural en ataques limitados, y la actividad inicial se observó el 17 de mayo de 2026. Actualmente se desconoce quién está detrás de los esfuerzos de explotación.

«Hasta este momento no se ha identificado ningún comportamiento posterior al acceso ni movimiento lateral», Palo Alto Networks dicho. «Sólo una pequeña porción de los dispositivos investigados realmente establecieron sesiones VPN, lo que resultó en eventos de conexión a la puerta de enlace».

Ciberseguridad

La compañía también ha publicado indicadores de compromiso (IoC) asociados con la actividad:

  • direcciones IP –

    • 23.128.228[.]6
    • 104.207.144[.]154
    • 146.19.216[.]119
    • 146.19.216[.]120
    • 146.19.216[.]125
    • 179.43.172[.]213
    • 185.195.232[.]139
    • 198.12.106[.]60
    • 202.144.192[.]47

  • Nombres de host y direcciones MAC –

    • aa:bb:cc:dd:ee:ff
    • 00:11:22:33:44:55
    • WINDOWS-PORTÁTIL-001
    • ESCRITORIO-GP01
    • CLIENTE GP

Palo Alto Networks también insta a los clientes a buscar en los registros de GlobalProtect eventos exitosos conectados a la puerta de enlace que coincidan con los siguientes valores de configuración del cliente codificados de un exploit de prueba de concepto (PoC):

  • endpoint_os_version: Microsoft Windows 10 Pro de 64 bits
  • source_user_info.dominio: vacío

A fines del mes pasado, la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CSIA) agregó CVE-2026-0257 a su catálogo de vulnerabilidades explotadas conocidas (KEV), ordenando a las agencias del Poder Ejecutivo Civil Federal (FCEB) que mitiguen la falla antes del 1 de junio de 2026.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *