Palo Alto Networks heeft gewaarschuwd dat een recentelijk onthuld beveiligingslek van gemiddelde ernst, dat gevolgen heeft voor PAN-OS en Prisma Access, actief in het wild wordt uitgebuit.
De kwetsbaarheid, bijgehouden als CVE-2026-0257 (CVSS-score: 7,8), verwijst naar een geval van authenticatie-bypass dat door kwaadwillige actoren kan worden uitgebuit om VPN-verbindingen op te zetten.
“Authenticatie omzeilt kwetsbaarheden in het GlobalProtect-portaal en de gateway van Palo Alto Networks PAN-OS®-software, waardoor de aanvaller beveiligingsbeperkingen kan omzeilen en een ongeautoriseerde VPN-verbinding tot stand kan brengen”, aldus Palo Alto Networks in een advies uitgebracht op 13 mei 2026.
Het probleem is specifiek van invloed op firewalls waarbij de GlobalProtect-portal of gateway is geconfigureerd wanneer authenticatie-override-cookies zijn ingeschakeld en er een specifieke certificaatconfiguratie bestaat, aldus het netwerkbeveiligingsbedrijf.
In een update van zijn advies op 29 mei 2026 zei Palo Alto Networks dat het “zich bewust is geworden van beperkte exploitpogingen op niet-gepatchte PAN-OS-apparaten zonder dat er oplossingen zijn toegepast.
De ontwikkeling komt nadat Rapid7 onthulde dat het succesvolle exploitatie bij talloze klanten heeft geïdentificeerd, waarbij de eerste pogingen dateren van 17 mei 2026, gevolgd door een tweede golf op 21 mei. Beide exploitatiesets worden beschouwd als het werk van dezelfde bedreigingsacteur.
De activiteit die tijdens de tweede golf werd waargenomen, betrof VPN IP-toewijzing na de cookie-authenticatie in twee gevallen, waardoor de aanvaller toegang kreeg tot het interne netwerk. Geen vervolgactiviteit in de klantomgevingen waar een VPN-sessie tot stand werd gebracht, voegde de cybersecurity-leverancier toe.
“Een authenticatieomzeiling in een edge-facing enterprise VPN-apparaat kan aanzienlijke gevolgen hebben voor getroffen organisaties”, aldus Rapid7. “Als zodanig worden organisaties die getroffen apparaten gebruiken dringend verzocht om dringend te upgraden naar een door de leverancier geleverde patch.”
Als tijdelijke oplossing wordt aanbevolen om de functie voor het overschrijven van de verificatie uit te schakelen of een nieuw certificaat te genereren dat uitsluitend voor de functie voor het overschrijven van de verificatie wordt gebruikt.
De exploitatie van CVE-2026-0257 volgt op een rapport van Arctic Wolf over de voortdurende bewapening van een kritieke, nu gepatchte beveiligingsfout die gevolgen heeft voor FortiClient Endpoint Management Server (EMS)-implementaties (CVE-2026-35616, CVSS-score: 9,1) om inloggegevens stelende malware te leveren, genaamd EKZ Infostealer.
