Palo Alto Networks waarschuwt dat kwaadwillenden een authenticatie-omzeilingsfout in PAN-OS GlobalProtect VPN, geregistreerd als CVE-2026-0257, actief misbruiken om bedrijfsnetwerken binnen te dringen. De kwetsbaarheid werd begin mei verholpen, maar aanvallers kunnen hiermee ongeautoriseerde VPN-verbindingen op het apparaat opzetten.

Volgens de advisory van Palo Alto stelt de fout een aanvaller in staat om beveiligingsbeperkingen te omzeilen en een VPN-verbinding tot stand te brengen zonder geldige credentials. Aanvankelijk kreeg de kwetsbaarheid een middelhoge ernstscore, omdat deze alleen misbruikt kan worden als authenticatie-override cookies zijn ingeschakeld en een specifieke certificaatconfiguratie aanwezig is. Op vrijdag verhoogde Palo Alto de ernst naar hoog, omdat er nu actieve exploitatie is vastgesteld op niet-gepatchte systemen.

De waarschuwing volgt op meldingen van Rapid7, die sinds 17 mei meerdere succesvolle aanvallen op klanten observeerde. Rapid7 legt uit dat aanvallers zich authenticeren bij GlobalProtect gateways met vervalste authenticatie-override cookies gericht op het lokale administratoraccount. De aanvallen begonnen vanuit infrastructuur van Vultr en later Dromatics Systems. In sommige gevallen konden aanvallers via VPN toegang krijgen tot interne netwerken, al lukte het niet altijd om een volledige sessie op te zetten.

De kwetsbaarheid ontstaat doordat PAN-OS authenticatie-override cookies ontsleutelt met een private key en de inhoud vertrouwt zonder handtekeningcontrole. Als hetzelfde certificaat wordt gebruikt voor HTTPS en deze cookies, kunnen aanvallers het publieke certificaat via HTTPS verkrijgen en daarmee vervalste cookies maken die het apparaat accepteert. Rapid7 ontwikkelde een proof-of-concept exploit die aantoont dat authenticatie mogelijk is zonder geldige credentials.

Organisaties met GlobalProtect VPN-apparaten wordt dringend geadviseerd de nieuwste updates te installeren. Als tijdelijke mitigatie kunnen beheerders de authenticatie-override functie uitschakelen of een apart certificaat gebruiken dat niet gedeeld wordt met andere diensten. De Amerikaanse CISA heeft de kwetsbaarheid inmiddels toegevoegd aan haar Known Exploited Vulnerabilities catalog en federale instanties verplicht de fout uiterlijk 1 juni 2026 te mitigeren.