Meta News

Zero-day en firewall de Palo Alto Networks explotado desde abril

Resumen: Hackers presuntamente respaldados por estados explotaron una vulnerabilidad cero-day de ejecución remota de código (RCE) en PAN-OS desde el 9 de abril, afectando firewalls PA-Series y VM-Series.

Vulnerabilidad zero-day en firewalls PAN-OS permite ejecución remota de código y ya está siendo explotada

Una nueva vulnerabilidad crítica de ejecución remota de código (RCE) en dispositivos con PAN-OS, el sistema operativo de los firewalls de Palo Alto Networks, está siendo explotada activamente desde al menos el 9 de abril, según reveló una investigación publicada por BleepingComputer.

La falla representa una amenaza seria para organizaciones que utilizan firewalls empresariales expuestos a Internet, ya que permitiría a atacantes comprometer dispositivos perimetrales encargados de proteger redes corporativas completas. 

Qué se sabe sobre la vulnerabilidad

De acuerdo con el informe, los atacantes están aprovechando una vulnerabilidad zero-day que afecta a PAN-OS antes de que muchas organizaciones hayan podido aplicar mitigaciones o actualizaciones de seguridad.

La explotación permitiría:

  • ejecución remota de código,
  • bypass de autenticación,
  • toma de control del firewall,
  • acceso a tráfico corporativo,
  • movimiento lateral dentro de redes internas.

Investigadores observaron intentos activos de explotación en sistemas expuestos públicamente y señalaron que los ataques comenzaron semanas antes de la divulgación pública.

Por qué los firewalls son objetivos tan críticos

Los firewalls empresariales ocupan una posición privilegiada dentro de cualquier infraestructura:

  • inspeccionan tráfico entrante y saliente,
  • administran VPN corporativas,
  • manejan autenticación,
  • aplican políticas de seguridad,
  • protegen servicios internos.

Cuando un atacante compromete un firewall perimetral, obtiene potencialmente:

  • visibilidad total del tráfico,
  • acceso privilegiado a segmentos internos,
  • capacidad de persistencia,
  • oportunidades para espionaje o ransomware.

Por eso las vulnerabilidades en appliances de seguridad suelen convertirse rápidamente en objetivos prioritarios para grupos APT y operadores de ransomware.

Incremento de ataques contra appliances de seguridad

Durante los últimos años se observó un crecimiento constante de ataques dirigidos contra:

  • VPNs empresariales,
  • firewalls,
  • gateways SSL,
  • soluciones MDM,
  • sistemas de acceso remoto.

Casos recientes que afectaron a Ivanti, Fortinet, Citrix y ahora PAN-OS demuestran que los atacantes priorizan dispositivos de seguridad expuestos a Internet debido a su enorme valor estratégico.

Qué deben hacer las organizaciones

Especialistas recomiendan actuar de inmediato:

  • aplicar los parches publicados por Palo Alto Networks,
  • restringir acceso administrativo desde Internet,
  • revisar logs y actividad sospechosa,
  • habilitar MFA en accesos administrativos,
  • segmentar dispositivos críticos,
  • monitorizar conexiones VPN y tráfico anómalo,
  • buscar indicadores de compromiso (IoCs).

También se aconseja realizar auditorías completas en dispositivos PAN-OS expuestos públicamente, incluso aunque hayan sido parchados, debido a la posibilidad de compromiso previo.

El riesgo de los zero-days en infraestructura crítica

Este incidente vuelve a evidenciar un problema creciente en ciberseguridad moderna: los dispositivos diseñados para proteger redes se están convirtiendo en algunos de los objetivos más explotados por atacantes sofisticados.

La combinación de:

  • acceso privilegiado,
  • exposición directa a Internet,
  • complejidad del software,
  • despliegues masivos empresariales,

convierte a los firewalls corporativos en un blanco extremadamente atractivo para espionaje, robo de información y campañas de ransomware.

Datos clave

  • El fallo permite ejecución remota de código (RCE) con privilegios de root.
  • La explotación fue detectada en firewalls PA-Series y VM-Series.
  • Los atacantes utilizaron Earthworm y ReverseSocks5 para mantener el acceso.
  • La vulnerabilidad fue explotada desde el 9 de abril de 2026.

¿Por qué importa?

Esta explotación representa un riesgo significativo de seguridad, ya que permite que atacantes no autenticados tomen el control total de firewalls de nivel empresarial. La persistencia en la explotación sugiere un compromiso sofisticado y el potencial de interrupción de infraestructura crítica.

X profile@BleepinComputerhttps://twitter.com/BleepinComputer
Contenido embebido de: Zero-day en firewall de Palo Alto Networks explotado desde abril
Etiquetas:
ciberseguridad firewall zero-day ransomware

Detalles estructurados

  • Industria: cybersecurity
  • Tipo de fuente: media
  • Estado de la afirmación: confirmed
  • Verificación: claimed_by_source
  • Entidades: Palo Alto Networks, CVE-2026-0300

Fuente: https://www.bleepingcomputer.com/news/security/pan-os-firewall-rce-zero-day-exploited-in-attacks-since-april-9/

Publicado el