Palo Alto Networks heeft een lek gedicht in de GlobalProtect-portal en -gateway van PAN-OS. Door deze fout kan een aanvaller zónder account een VPN-verbinding opzetten. Daarmee krijgt hij toegang tot interne systemen die via die VPN worden aangeboden. Belangrijk detail: het risico ontstaat alleen als (HTTPS-)certificaten worden hergebruikt én de opties “Generate cookie for authentication override” of “Accept cookie for authentication override” aanstaan. (security.paloaltonetworks.com)

Wat is er precies aan de hand?

• De kwetsbaarheid (CVE-2026-0257) zit in de manier waarop GlobalProtect authenticatie-cookies gebruikt. In specifieke configuraties is het mogelijk die cookie te misbruiken en zo de inlog te omzeilen. Panorama en Cloud NGFW zijn niet geraakt. (security.paloaltonetworks.com)
• Palo Alto publiceerde het advies op 13 mei 2026 en werkte het bij op 29 mei 2026. In het advies staat ook stap-voor-stap hoe je ziet of jouw portal/gateway de cookie-opties aan heeft staan. (security.paloaltonetworks.com)

Wordt het al misbruikt?

• Ja. Onderzoekers van Rapid7 melden actief misbruik in het wild. Daarnaast is er publiekelijk proof‑of‑conceptcode verschenen, wat de drempel voor aanvallers verlaagt. (rapid7.com)
• CISA heeft CVE-2026-0257 op 29 mei 2026 aan de Known Exploited Vulnerabilities-lijst toegevoegd, een sterke aanwijzing dat misbruik daadwerkelijk plaatsvindt. (rapid7.com)

Waarom dit de moeite waard is

• GlobalProtect fungeert als toegangspoort tot je interne netwerk. Als een aanvaller hierlangs binnenkomt, kan hij verder in je omgeving bewegen alsof hij een legitieme gebruiker is. Dat maakt snelle actie cruciaal. (security.paloaltonetworks.com)
• Security-organisaties benadrukken vaker: zodra een PoC openbaar is, stijgt de kans op grootschaliger misbruik. Dat patroon zagen we eerder ook bij andere edge‑apparaten. (ncsc.nl)

Wat moet je nu doen?

• Updaten: installeer een vaste versie van PAN-OS/Prisma Access volgens het vendoradvies (bijv. 10.2.10‑h36, 11.1.13‑h5, 11.2.10‑h7, 12.1.4‑h6 of hoger; zie de volledige matrix in het advies). Let op: na de update moeten GlobalProtect‑gebruikers éénmalig opnieuw inloggen, omdat het systeem een veiliger cookie aanmaakt. (security.paloaltonetworks.com)
• Configuratie controleren: gebruik een apart certificaat uitsluitend voor Authentication Override‑cookies. Deel of hergebruik het (HTTPS-)certificaat van portal/gateway niet. (security.paloaltonetworks.com)
• Tijdelijk mitigeren (als patchen nog niet kan): schakel “Generate/Accept cookie for authentication override” uit op portal en/of gateway. Beperk waar mogelijk de blootstelling van beheer- en loginportalen tot vertrouwde netwerken. (security.paloaltonetworks.com)
• Monitoring aanscherpen: houd inlog- en VPN‑logs in de gaten op verdachte sessies die via override‑cookies worden aangemaakt, zeker als de bron-IP’s onverwacht zijn. Combineer dat met MFA‑signalering en beleid op afwijkende inloglocaties. (bleepingcomputer.com)

Extra context voor beheerders

• Prisma Access‑omgevingen worden volgens het reguliere upgrade‑schema bijgewerkt; check de planning in je tenant. (security.paloaltonetworks.com)
• Deze kwetsbaarheid is alleen uit te buiten onder specifieke instellingen. Dat verklaart de “HIGDe kans op misbruik van deze kwetsbaarheid is hoog en de schade is gemiddeldEDIUM”‑score, maar onderschat het risico niet: als jouw configuratie precies zo staat, is de impact direct. (security.paloaltonetworks.com)

Kort samengevat: controleer vandaag nog of je GlobalProtect portal/gateway Authentication Override‑cookies gebruikt in combinatie met hergebruikte certificaten. Zet waar nodig de opties uit, rol een dedicated certificaat uit voor cookies en update naar een gepatchte release. Zo verklein je de kans dat een aanvaller via je VPN rechtstreeks het interne netwerk binnenkomt. (security.paloaltonetworks.com)

---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ---- ----
Opzoek naar de laatste updates uit onze securitylog?
Inhoud mede mogelijk gemaakt door OpenAI.