Laut Rapid7 begannen die Angriffe damit, dass sich die Angreifer mit gefälschten Authentifizierungs-Override-Cookies an GlobalProtect-Gateways anmeldeten, die auf das lokale Administratorkonto abzielten. Das Unternehmen beobachtete die erste Ausnutzung am 18. Mai von Infrastruktur des Anbieters Vultr aus, eine zweite Angriffswelle folgte am 21. Mai und ging von Dromatics Systems aus. Als frühestes beobachtetes Ausnutzungsdatum nennt Rapid7 den 17. Mai 2026.

In einigen Fällen konnten sich die Angreifer mit den gefälschten Cookies per VPN mit dem Gerät verbinden und so Zugang zu internen Netzwerken erlangen. Rapid7 betont jedoch, bei vielen Vorfällen habe das Gerät zwar den gefälschten Cookie akzeptiert, eine vollständige VPN-Sitzung sei aber nicht zustande gekommen. Hinweise auf eine erfolgreiche laterale Bewegung von den betroffenen Geräten aus habe man nicht festgestellt.

Die Untersuchung der betroffenen Kunden ergab, dass auf den Geräten die Authentifizierungs-Override-Cookies aktiviert und so konfiguriert waren, dass Angreifer gültige Authentifizierungs-Cookies fälschen konnten. Die Ursache liegt nach Einschätzung der Forscher in der Art, wie PAN-OS diese Cookies prüft: Ein GlobalProtect-VPN-Gerät entschlüsselt die Cookies mit einem konfigurierten privaten Schlüssel und vertraut dem entschlüsselten Inhalt dann ohne jede Signaturprüfung.

Wird dasselbe Zertifikat sowohl für HTTPS-Dienste als auch für die Override-Cookies verwendet, können Angreifer den zugehörigen öffentlichen Schlüssel über die HTTPS-Sitzung abgreifen und damit gefälschte Cookies erzeugen, die das Gerät als legitim akzeptiert. Rapid7 entwickelte einen Proof-of-Concept-Exploit, der zeigt, wie ein Angreifer die von einem GlobalProtect-Portal oder -Gateway offengelegten öffentlichen Zertifikate abruft, einen gefälschten Authentifizierungs-Override-Cookie für einen beliebigen Nutzer erzeugt und sich ohne gültige Zugangsdaten anmeldet. Mit diesem Verfahren gelang den Forschern die Anmeldung an einem ungepatchten GlobalProtect-Gateway.

Administratoren können die Lücke neben dem Einspielen der Updates auch entschärfen, indem sie die Authentifizierungs-Override-Funktion deaktivieren oder für diese Funktion ein eigenes Zertifikat nutzen, das nicht mit anderen Diensten auf dem Gerät geteilt wird.

Die US-Behörde CISA hat die Schwachstelle inzwischen in ihren Katalog bekannter ausgenutzter Schwachstellen (Known Exploited Vulnerabilities) aufgenommen; laut Rapid7 geschah dies zum 29. Mai 2026. US-Bundesbehörden wurden angewiesen, die Lücke bis zum 1. Juni 2026 zu beheben.