Palo Alto Networks meldt dat een beveiligingslek in hun firewalls momenteel actief wordt misbruikt. Via deze kwetsbaarheid, bekend als CVE-2026-0257, kunnen aanvallers de authenticatie omzeilen en een niet-toegestane vpn-verbinding opzetten.

Op 13 mei zijn beveiligingsupdates uitgebracht voor dit lek, dat aanwezig is in PAN-OS, het besturingssysteem van de Palo Alto Networks firewalls. Volgens Rapid7 wordt het lek sinds 17 mei actief geëxploiteerd. De aanval is alleen mogelijk wanneer de 'authentication override feature' in de GlobalProtect portal of gateway is ingeschakeld en het certificaat voor het versleutelen en ontsleutelen van de 'authentication override cookie' wordt hergebruikt. Hierbij kan een aanvaller een cookie bemachtigen waarmee een vpn-verbinding wordt opgezet zonder geldige authenticatie.

Palo Alto Networks adviseert om het betreffende certificaat niet te hergebruiken en niet voor andere functionaliteiten in te zetten. Rapid7 benadrukt dat organisaties deze kwetsbaarheid als kritiek moeten behandelen, omdat een bypass van vpn-authenticatie ernstige gevolgen kan hebben. De kwetsbaarheid heeft een CVSS 4.0 score van 7.8 en volgens de CVSS 3 methode een impactscore van 9.1.

Het Amerikaanse cyberagentschap CISA heeft het misbruik eveneens gemeld en Amerikaanse overheidsinstanties opgedragen de updates binnen drie dagen te installeren, een versnelde termijn ten opzichte van de gebruikelijke twee weken. Het Nationaal Cyber Security Centrum adviseert Nederlandse organisaties om kwetsbare omgevingen te controleren op Indicators of Compromise (IOC's) die door Rapid7 zijn gedeeld, om zo mogelijke compromittering vast te stellen.