Nach Angaben von Rapid7 begann die Ausnutzung von CVE-2026-0257 am 17. Mai. Bei der ersten Untersuchung beobachtete das Unternehmen eine verdächtige Cookie-Authentifizierung am lokalen Administratorkonto, die in mehreren Kundenumgebungen vom selben Hosting-Anbieter Vultr ausging.

Am 21. Mai startete laut Rapid7 derselbe Akteur eine zweite Angriffswelle, diesmal über den Hosting-Anbieter Dromatics Systems. In dieser Welle folgte auf die Cookie-Authentifizierung eine VPN-IP-Zuweisung, die den Angreifern Zugang zum internen Netzwerk verschaffte. Warum die VPN-Zuweisung nur bei einem Teil der betroffenen Kunden erfolgte, konnte die Sicherheitsfirma nach eigenen Angaben nicht klären.

Der Akteur nutzte die Schwachstelle in mehreren Umgebungen erfolgreich aus und testete die Authentifizierungs-Umgehung mit gefälschten Cookies. In acht von zehn Fällen wurden die Cookies akzeptiert, ohne dass eine vollständige VPN-Sitzung aufgebaut wurde.

Rapid7 veröffentlichte ein Proof-of-Concept-Skript, mit dem Organisationen verwundbare Palo-Alto-Networks-Firewalls in ihren Umgebungen aufspüren können. Zusätzlich stellte das Unternehmen Kompromittierungsindikatoren (IoCs) bereit, die Verteidiger bei der Suche nach möglichen Angriffen unterstützen sollen.

Palo Alto Networks integrierte die Korrekturen in Software-Updates für PAN-OS 12.1, 11.2, 11.1 und 10.2 sowie für Prisma Access 11.2.0 und 10.2.0. Betroffenen Organisationen wird geraten, so bald wie möglich auf eine gepatchte Version zu aktualisieren.