Una nuova vulnerabilità sta mettendo sotto pressione la sicurezza perimetrale di molte aziende che usano PAN-OS e Prisma Access. Il problema riguarda GlobalProtect, in particolare portale e gateway, e consente un bypass di autenticazione identificato come CVE-2026-0257 con punteggio CVSS 7.8.
In pratica un attaccante può aggirare alcune restrizioni di sicurezza e stabilire una connessione VPN non autorizzata, ottenendo potenzialmente accesso alla rete interna.
Il rischio aumenta per i firewall esposti su internet che hanno GlobalProtect configurato e che utilizzano i cookie di authentication override. La condizione critica si verifica quando questa funzione è attiva insieme a una specifica configurazione dei certificati. In tali scenari un aggressore può sfruttare la logica di autenticazione basata su cookie per arrivare a una sessione VPN valida senza completare correttamente il processo previsto.
Sono stati osservati tentativi di sfruttamento su dispositivi non aggiornati e senza mitigazioni applicate. Le analisi sul campo indicano che l’attività malevola è iniziata almeno a metà maggio 2026, con una prima ondata e una successiva recrudescenza pochi giorni dopo. In alcuni casi lo sfruttamento ha portato anche all’assegnazione di un indirizzo IP VPN dopo la fase di cookie authentication, segnale che la connessione è stata effettivamente stabilita e che l’attaccante ha potuto raggiungere risorse interne. Anche in assenza di attività successive evidenti, l’impatto potenziale resta elevato perché una VPN compromessa può diventare un punto di ingresso stabile per movimenti laterali, furto di credenziali e distribuzione di malware.
Dal punto di vista operativo la priorità è applicare con urgenza la patch del fornitore per CVE-2026-0257 su tutti i sistemi interessati, specialmente quelli edge-facing. Se non è possibile intervenire subito con l’aggiornamento, le mitigazioni temporanee consigliate includono la disattivazione della funzione di authentication override oppure la generazione di un nuovo certificato dedicato esclusivamente a tale funzione, riducendo la superficie di attacco legata alla configurazione esistente.
La vulnerabilità è stata anche inserita nel catalogo Known Exploited Vulnerabilities, un indicatore importante che conferma lo sfruttamento attivo e la necessità di una risposta rapida con patching, verifica delle configurazioni GlobalProtect e monitoraggio dei log VPN per individuare sessioni anomale.