Palo Alto Networks meldt actief misbruik van beveiligingslek in firewalls

In dit artikel:

Een kwetsbaarheid in PAN-OS van Palo Alto Networks (CVE-2026-0257) wordt actief misbruikt om de authenticatie van GlobalProtect-vpn’s te omzeilen, meldt de leverancier. Patches voor het lek verschenen op 13 mei; volgens Rapid7 zijn er sinds 17 mei daadwerkelijke aanvallen waargenomen. De fout treedt alleen op bij een specifieke configuratie: de “authentication override”-functie moet ingeschakeld zijn op de GlobalProtect-portal of -gateway en hetzelfde certificaat mag gebruikt worden voor het versleutelen/ontsleutelen van de authentication-override-cookie. In die situatie kan een aanvaller een cookie bemachtigen en daarmee een ongeautoriseerde VPN-verbinding opzetten, met potentieel brede netwerktoegang als gevolg.

Beveiligingsonderzoekers kwalificeren de kwetsbaarheid als kritisch (CVSS 4.0: 7,8; CVSS3: 9,1). Palo Alto raadt aan het betreffende certificaat niet te hergebruiken en het niet voor andere functies in te zetten. Het Amerikaanse CISA heeft misbruik gemeld en opgelegd dat overheidsinstanties binnen drie dagen moeten patchen; het Nederlandse NCSC adviseert organisaties de door Rapid7 gedeelde Indicators of Compromise te controleren. Aanbevolen acties zijn: zo snel mogelijk de beschikbare updates installeren, gebruikte certificaten roteren en unieke certificaten per feature toepassen, GlobalProtect-configuraties nalopen, logs en IOCs scannen op tekenen van compromittering en ongewone VPN-sessies monitoren.