CVE-2026-0257: bypass autenticazione GlobalProtect, exploitation attiva

CVE-2026-0257: bypass autenticazione GlobalProtect, exploitation attiva

Palo Alto Networks ha aggiornato l'advisory di CVE-2026-0257 il 29 maggio 2026 confermando limited exploit attempts su dispositivi PAN-OS non patchati e privi di mitigazioni. Nella stessa giornata CISA ha inserito la vulnerabilità nel catalogo Known Exploited Vulnerabilities. È il culmine di un crescendo cominciato il 13 maggio con il rilascio dell'advisory, accelerato da due ondate di attacco rilevate da Rapid7 il 17 e il 21 maggio, entrambe attribuite allo stesso attore. Il caso mette in luce un disallineamento sempre più frequente: un punteggio CVSS 7.8 classificato come medium dalla scala ufficiale, che operatori e vendor di sicurezza gestiscono come priorità critica per il vettore di attacco.

Il meccanismo: come funziona l'authentication override

La vulnerabilità risiede nella funzione authentication override di GlobalProtect, componente che permette a endpoint già autenticati di ristabilire connessioni VPN senza ripetere l'intero flusso di credenziali. Secondo l'advisory vendor citato da The Hacker News, un attaccante può sfruttare questa caratteristica per bypass security restrictions and establish an unauthorized VPN connection. Le ondate rilevate da Rapid7 mostrano tecniche di spoofing: MAC address falsificato come aa:bb:cc:dd:ee:ff e nomi macchina GP-CLIENT (prima ondata, autenticazione Linux, 17 maggio) e DESKTOP-GP01 (seconda ondata, autenticazione Windows, 21 maggio). Gli IP sorgente segnalati da CyberSecurityNews sono 104.207.144.154 per la prima ondata e 146.19.216.119, .120, .125 per la seconda.

La scelta di impersonare endpoint legittimi piuttosto che forzare credenziali indica una comprensione operativa dello stack PAN-OS: l'attacco non viola l'autenticazione nel senso classico di password cracking, ma aggira il percorso di autenticazione sfruttando la fiducia pre-stabilita tra gateway e client. Questo spiega perché la mitigazione temporanea passi per la disabilitazione dell'authentication override o la generazione di un certificato dedicato, come indicato nell'advisory vendor.

Il disallineamento CVSS: perché 7.8 genera allarme critico

Rapid7 ha pubblicamente classificato CVE-2026-0257 come critical-priority nonostante il CVSS 7.8. CyberSecurityNews riporta la motivazione: an authentication bypass on an internet-facing enterprise VPN appliance represents a significant initial access vector. Il punteggio ufficiale, secondo i dati di Palo Alto Networks trasmessi da The Hacker News, resta 7.8 medium. Il gap non è un errore di calcolo, ma una divergenza tra metrica teorica e contesto operativo.

Il CVSS misce severità tecnica e impatto in assenza di fattori ambientali; non incorpora la posizione dell'asset nella topologia di rete, la densità di target esposti, la disponibilità di proof-of-concept pubblici, né la velocità di weaponization. Un VPN gateway è per definizione esposto a Internet, aggrega traffico privilegiato e rappresenta un punto di ingresso privilegiato per lateral movement. In questo scenario, il 7.8 di Palo Alto Networks descrive il danno tecnicamente possibile; la valutazione di Rapid7 descrive il danno probabilmente realizzato. Le due scale sono entrambe corrette, ma parzialmente sovrapposte.

Timeline e velocità di weaponization

La cronologia è compatta. Il 13 maggio 2026 Palo Alto Networks pubblica l'advisory. Entro quattro giorni, il 17 maggio, Rapid7 rileva la prima ondata di exploitation di successo. Segue una seconda ondata il 21 maggio. Tredici giorni dopo l'advisory, il 29 maggio, il vendor aggiorna la comunicazione confermando tentativi limitati e CISA emette l'entry KEV. L'intervallo advisory-exploitation è particolarmente stretto per una vulnerabilità che richiede comprensione di un sottosistema specifico come l'authentication override.

"Despite its medium CVSSv4 score, Rapid7 urges organizations to treat CVE-2026-0257 as a critical-priority vulnerability. An authentication bypass on an internet-facing enterprise VPN appliance represents a significant initial access vector, and with active exploitation confirmed and a public proof-of-concept script now available, the window for safe remediation is closing fast." — CyberSecurityNews, riportando posizione Rapid7

L'identità del threat actor resta non attribuita; Rapid7 lo descrive come same threat actor per entrambe le ondate, ma nessuna fonte nel dossier associa un nome o un cluster di attività precedentemente documentato a questa specifica campagna. Il dossier non specifica attività post-exploitation per CVE-2026-0257: una volta stabilita la connessione VPN non autorizzata, il perimetro tecnicamente crolla, ma le fonti non documentano quali movimenti successivi siano stati osservati.

Cosa fare adesso

• Verificare la presenza di PAN-OS GlobalProtect portal o gateway nelle versioni affette: 12.1.x precedente a 12.1.4-h6 o 12.1.7, 11.2.x precedente a 11.2.12, 11.1.x precedente a 11.1.15, 10.2.x precedente a 10.2.18-h6; per Prisma Access, 11.2.0 richiede 11.2.7-h13 o successivo, 10.2.0 richiede 10.2.10-h36 o successivo.
• Applicare le patch indicate nelle release notes ufficiali o, se l'aggiornamento non è immediatamente fattibile, disabilitare l'authentication override seguendo il percorso documentato dall'advisory vendor: Network > GlobalProtect > Gateways > Agent > Client Settings > Authentication Override tab.
• Generare un nuovo certificato dedicato per l'authentication override se la feature deve restare attiva, come alternativa mitigativa indicata da Palo Alto Networks.
• Controllare i log per connessioni sospette con i parametri IOC documentati: MAC address aa:bb:cc:dd:ee:ff o nomi macchina GP-CLIENT e DESKTOP-GP01, con attenzione agli IP sorgente delle due ondate.

Il pattern della weaponization post-advisory

Le due ondate di maggio non sono un caso isolato, ma un'istanza di un pattern ricorrente nel 2025-2026: advisory vendor, proof-of-concept pubblico, exploitation massiccia entro giorni. La differenza qui è la specializzazione tecnica richiesta per sfruttare l'authentication override, che suggerisce un attore con accesso a documentazione interna o con esperienza pregressa su PAN-OS. Non emergono sovrapposizioni infrastrutturali che colleghino questo attore a campagne note come CL-STA-1132, documentata da Unit42 per la vulnerabilità CVE-2026-0300, diversa da quella oggetto di questo report.

Per i team di vulnerability management, CVE-2026-0257 è un test case concreto sulle limitazioni del CVSS come unico strumento di prioritizzazione. Il punteggio 7.8, tecnicamente corretto, avrebbe potuto relegare la patch in una finestra di manutenzione ordinaria; la realtà operativa, documentata da Rapid7 e confermata dal vendor, impone una tempistica di emergency change. La lezione non è che il CVSS sia sbagliato, ma che va integrato con il contesto di esposizione dell'asset e con intelligence su weaponization attiva. I CISO che operano ancora su SLA rigidi basati esclusivamente sulla severità formale rischiano di misurare il rischio con un metro che gli attori non usano.

Fonti

• https://thehackernews.com/2026/05/pan-os-globalprotect-authentication.html
• https://cybersecuritynews.com/palo-alto-vulnerability-exploited/
• https://www.flyingpenguin.com/palo-alto-defenders-guide-refutes-mythos-claim/
• https://unit42.paloaltonetworks.com/captive-portal-zero-day/
• https://security.paloaltonetworks.com/CVE-2026-0257
• https://security.paloaltonetworks.com/csv
• https://security.paloaltonetworks.com/CVE-2026-0300
• https://security.paloaltonetworks.com/CVE-2026-0262
• https://www.cisa.gov/sites/default/files/feeds/known_exploited_vulnerabilities.json

Le informazioni sono state verificate sulle fonti citate e aggiornate al momento della pubblicazione.

Fonti