CVE-2026-0257: se usi GlobalProtect di Palo Alto, leggi questo adesso

Questo non è uno di quegli articoli teorici sulle vulnerabilità. È un alert!

Se gestisci un firewall Palo Alto con GlobalProtect, smetti di leggere e vai a controllare la tua configurazione. Poi torna qui.

---

Cosa sta succedendo

Il 13 maggio 2026 Palo Alto Networks ha pubblicato un advisory su CVE-2026-0257, una vulnerabilità di authentication bypass che colpisce il portale e il gateway di GlobalProtect su PAN-OS e Prisma Access.

In pratica: un attaccante non autenticato può forgiare un cookie di autenticazione e stabilire una connessione VPN non autorizzata alla tua rete interna. Senza username, senza password, senza MFA.

Non è una vulnerabilità teorica ma è già attivamente sfruttata.

Rapid7 ha documentato due ondate di attacchi: la prima a partire dal 17 maggio, la seconda il 21 maggio. CISA l’ha aggiunta al catalogo delle Known Exploited Vulnerabilities il 29 maggio, con scadenza di remediation al 1° giugno per le agenzie federali americane. La deadline è già passata - e gli attacchi continuano.

Come funziona (in modo semplice)

GlobalProtect ha una funzione chiamata authentication override cookie - serve a ridurre l’attrito per gli utenti che usano MFA o password dinamiche, permettendo di riconnettersi senza riautenticarsi ogni volta.

Il problema è che PAN-OS, in alcune configurazioni, non valida correttamente questi cookie. Un attaccante che conosce il meccanismo può costruirne uno falso e farlo accettare dal gateway come se fosse legittimo. Il risultato è una sessione VPN attiva, con accesso alla rete interna equivalente a quello di un utente autenticato.

Il punto critico: questa funzione non è abilitata di default. Ma se qualcuno l’ha attivata per comodità - e succede spesso - e la configurazione del certificato non è corretta, il rischio è reale e immediato.

Sei vulnerabile?

Devi verificare tre cose:

1. Hai GlobalProtect configurato come portale o gateway? Se sì, sei potenzialmente nel perimetro della vulnerabilità.

2. Hai abilitato gli authentication override cookie? Vai nella configurazione del portale o del gateway e cerca le opzioni “Generate cookie for authentication override” e “Accept cookie for authentication override”. Se sono attive, continua a leggere.

3. Stai usando una configurazione di certificato non sicura? Questa è la condizione specifica che rende la vulnerabilità sfruttabile. L’advisory di Palo Alto dettaglia le configurazioni a rischio.

Panorama e Cloud NGFW non sono impattati.

Cosa fare adesso

Priorità uno: aggiorna PAN-OS alla versione corretta. Palo Alto ha rilasciato le patch - controlla l’advisory ufficiale per la versione specifica del tuo branch.

Se non puoi aggiornare immediatamente, hai due opzioni di mitigazione:

• Disabilita la funzione di authentication override - rimuove il vettore di attacco, ma gli utenti dovranno riautenticarsi ogni volta
• Genera un certificato dedicato per l’authentication override, seguendo le indicazioni dell’advisory

In ogni caso, controlla i log per attività sospette: connessioni VPN da IP insoliti, tentativi di autenticazione con account amministratore locale, traffico proveniente da provider di hosting come Vultr o Dromatics Systems.

Perché ne parlo qui

Non pubblico alert su ogni CVE che esce - sarebbero decine alla settimana e non avrebbero senso.

Questa è diversa per tre motivi: è attivamente sfruttata, colpisce un componente esposto direttamente su internet, e il proof-of-concept è già pubblico. Il tempo tra “vulnerabilità nota” e “tentativi di exploit su larga scala” si è già esaurito.

Se usi GlobalProtect e non hai ancora verificato la tua configurazione, fallo oggi.

---

Hai bisogno di supporto per la verifica o la remediation? Scrivimi - è esattamente il tipo di intervento che gestisco.

---

Fonti

• Palo Alto Networks - CVE-2026-0257 Security Advisory
• Rapid7 - Observed Exploitation of CVE-2026-0257
• CISA - Known Exploited Vulnerabilities Catalog