Palo Alto Networks waarschuwt dat een recent bekendgemaakte kwetsbaarheid in PAN-OS en Prisma Access, met de aanduiding CVE-2026-0257, actief wordt misbruikt. Het betreft een authenticatie-omzeiling die kwaadwillenden in staat stelt om onbevoegde VPN-verbindingen op te zetten via de GlobalProtect portal en gateway.

De kwetsbaarheid treft specifiek firewalls waarop de GlobalProtect portal of gateway is geconfigureerd met ingeschakelde authenticatie-override cookies en een bepaalde certificaatconfiguratie. Palo Alto Networks meldde op 13 mei 2026 dat deze fout het mogelijk maakt om beveiligingsrestricties te omzeilen en zo toegang te krijgen tot het netwerk. In een update van 29 mei gaf het bedrijf aan dat er beperkte pogingen tot exploitatie zijn waargenomen op niet-gepatchte systemen zonder mitigaties.

Onderzoek door Rapid7 toonde aan dat succesvolle exploitatie heeft plaatsgevonden bij meerdere klanten, met de eerste pogingen vanaf 17 mei 2026 en een tweede golf op 21 mei. Beide golven worden toegeschreven aan dezelfde dreigingsactor. Tijdens de tweede golf werd in twee gevallen via VPN IP-toewijzing na cookie-authenticatie toegang tot het interne netwerk verkregen. Er zijn geen vervolgactiviteiten waargenomen binnen de getroffen omgevingen.

Rapid7 benadrukt dat een authenticatie-omzeiling in een edge-facing enterprise VPN-apparaat een grote impact kan hebben. Organisaties met getroffen apparaten worden dringend geadviseerd om zo snel mogelijk de door de leverancier verstrekte patch te installeren. Als tijdelijke maatregel kan het uitschakelen van de authenticatie-override functie of het genereren van een nieuw certificaat voor deze functie worden toegepast.

De exploitatie van CVE-2026-0257 volgt op een eerdere melding van Arctic Wolf over de voortdurende misbruik van een kritieke, inmiddels gepatchte kwetsbaarheid in FortiClient Endpoint Management Server (CVE-2026-35616) die werd ingezet voor het verspreiden van credential-stealing malware.