Rapid7 fordert Organisationen auf, die Lücke wie eine kritische Schwachstelle zu behandeln. Begründet wird dies nicht nur mit der aktiven Ausnutzung, sondern auch damit, dass „eine Authentifizierungs-Umgehung in einer nach außen gerichteten Unternehmens-VPN-Appliance erhebliche Auswirkungen auf betroffene Organisationen haben kann". Betreiber betroffener Geräte sollten dem Bericht zufolge dringend auf einen vom Hersteller bereitgestellten Patch aktualisieren. Hinweise auf erfolgreiche laterale Bewegung ausgehend von den Geräten beobachteten die Forscher bislang nicht.
Beobachtet wurden hingegen erfolgreiche Angriffe in mehreren Kundenumgebungen. In vielen Fällen verwendeten die Angreifer gefälschte Authentifizierungs-Cookies, um sich als legitime Nutzer auszugeben und an den GlobalProtect-Gateways anzumelden. Auf die ersten Angriffe folgte am 21. Mai eine zweite Welle, bei der einigen Angreifern den Erkenntnissen zufolge VPN-Adressen zugewiesen wurden und sie internen Netzwerkzugriff erlangten.
Der Kern des Problems liegt in der Funktion „authentication override", über die ein GlobalProtect-Portal oder -Gateway einem authentifizierten Nutzer Cookies ausstellt. Laut Rapid7 kann der Nutzer ein solches Cookie bei späterer Kommunikation anstelle einer erneuten Anmeldung mit Zugangsdaten verwenden – ähnlich einem Bearer-Token. Die Funktion ist standardmäßig nicht aktiviert.
Zudem setzt die Schwachstelle eine bestimmte Zertifikatskonfiguration voraus: Das Zertifikat zum Ver- und Entschlüsseln der Authentifizierungs-Cookies darf nicht dasselbe sein, das der HTTPS-Dienst des Portals oder Gateways nutzt. Nach der Analyse von Rapid7 vertraut das System unter bestimmten Konfigurationen entschlüsselten Cookies, ohne deren Echtheit zu prüfen. Verwenden Administratoren dasselbe Zertifikat für HTTPS-Dienste und Cookie-Verschlüsselung, können Angreifer den öffentlichen Schlüssel des Zertifikats beschaffen und gefälschte Cookies erzeugen, die das VPN-Gateway als gültig akzeptiert.
Rapid7 entwickelte ein Proof-of-Concept-Werkzeug, das den Angriff erfolgreich demonstrierte: Ein gefälschtes Cookie wurde von verwundbaren GlobalProtect-Gateways akzeptiert und für authentifizierte Sitzungen genutzt.
Sicherheitslücken in Technik von Palo Alto Networks geraten häufig ins Visier von Angreifern, da sie den Zugang zum Unternehmensnetz absichert. Bereits zuvor in diesem Jahr griffen Akteure eine separate Authentifizierungs-Umgehung in PAN-OS an (CVE-2025-0108), die einem nicht authentifizierten Angreifer das Aufrufen bestimmter PHP-Skripte erlaubte und bei ihrer Entdeckung ein Zero-Day war; auch hier riet CISA zum Einspielen des Patches.
Sowohl PAN als auch Rapid7 raten Betroffenen, den Fix von CVE-2026-0257 schnellstmöglich einzuspielen. Ist dies nicht möglich, empfiehlt PAN, ein eigenes, neu erzeugtes und sicher gespeichertes Zertifikat ausschließlich für die Authentifizierungs-Cookies zu verwenden und das Portal- oder Gateway-Zertifikat nicht wiederzuverwenden oder mit anderen Funktionen oder Nutzern zu teilen. Alternativ lässt sich „authentication override" vollständig deaktivieren, indem in der Konfiguration von Portal und Gateway sämtliche Optionen zum Erzeugen und Akzeptieren von Cookies abgewählt werden.
