Plataforma
paloalto
Componente
terminal-server-agent
Corregido en
11.2.8
11.1.11
10.2.17
10.2.10-h28
Se ha identificado una vulnerabilidad de validación de certificados en el Terminal Server Agent de PAN-OS. Esta falla permite a usuarios conectar agentes de Terminal Server en Windows a PAN-OS utilizando certificados expirados, incluso si la configuración de PAN-OS normalmente no lo permitiría. La vulnerabilidad afecta a todas las versiones de PAN-OS anteriores a la 11.2.8 y se recomienda actualizar a la versión corregida para mitigar el riesgo.
La explotación de esta vulnerabilidad podría permitir a atacantes establecer conexiones no autorizadas a sistemas PAN-OS a través de agentes de Terminal Server. Esto podría resultar en acceso no autorizado a la red protegida por PAN-OS, permitiendo la exfiltración de datos sensibles, la modificación de configuraciones o incluso la ejecución de código malicioso. La severidad de este impacto se agrava si los agentes de Terminal Server se utilizan para administrar sistemas críticos o si la red PAN-OS protege información altamente confidencial. Aunque no se ha reportado explotación activa, la facilidad de explotación y el potencial impacto justifican una respuesta inmediata.
Esta vulnerabilidad fue publicada el 11 de febrero de 2026. Actualmente no se encuentra en el Catálogo de Vulnerabilidades Conocidas (KEV) de CISA. No se han reportado públicamente pruebas de concepto (PoC) disponibles, pero la descripción de la vulnerabilidad sugiere que la explotación es relativamente sencilla. Se recomienda monitorear activamente los sistemas PAN-OS para detectar cualquier actividad sospechosa relacionada con la conexión de agentes de Terminal Server.
Organizations heavily reliant on Terminal Server Agents for remote access and management are at increased risk. Environments with legacy Windows systems or those that have not enforced strict certificate management practices are particularly vulnerable. Shared hosting environments where multiple users share the same Terminal Server Agent infrastructure could also be affected.
• paloalto / windows: Use Windows Event Viewer to monitor for successful connections from Terminal Server Agents with certificates nearing or past their expiration date. Filter for events related to certificate validation failures followed by successful connections.
Get-WinEvent -LogName Security -FilterXPath '//Event[System[EventID=5141]]'• paloalto / linux: Examine Palo Alto Networks firewall logs for connections from Terminal Server Agents using certificates with expiration dates outside of the acceptable range. Use journalctl to filter for relevant log entries.
journalctl -u panfsd | grep "certificate expired"• paloalto / generic web: Check Palo Alto Networks firewall configuration for certificate validation policies. Ensure that policies are configured to reject expired certificates and that alerts are generated for any attempts to bypass these policies.
disclosure
Estado del Exploit
EPSS
0.01% (1% percentil)
CISA SSVC
La mitigación principal para esta vulnerabilidad es actualizar a la versión 11.2.8 de PAN-OS o superior. Si la actualización inmediata no es posible, se recomienda revisar y endurecer las políticas de validación de certificados en PAN-OS para restringir la aceptación de certificados expirados. Además, se pueden implementar reglas en un firewall de aplicaciones web (WAF) o proxy para bloquear el tráfico que utiliza certificados expirados. Verifique después de la actualización que los agentes de Terminal Server se conecten correctamente utilizando certificados válidos y que las políticas de validación de certificados se apliquen según lo esperado.
Actualice PAN-OS a la versión 11.2.8 o superior, o a las versiones 10.2.17, 10.2.10-h28 o 11.1.11 para corregir la validación incorrecta de certificados. Esto evitará que los agentes de Terminal Server se conecten usando certificados expirados. Consulte el advisory de Palo Alto Networks para obtener más detalles sobre la actualización.
Análisis de vulnerabilidades y alertas críticas directamente en tu correo.
CVE-2026-0228 is a vulnerability in Palo Alto Networks PAN-OS that allows connections from Windows Terminal Server Agents using expired certificates, bypassing normal security controls.
If you are running PAN-OS versions prior to 11.2.8 and utilize Terminal Server Agents, you are potentially affected by this vulnerability.
Upgrade your Palo Alto Networks PAN-OS to version 11.2.8 or later to resolve this vulnerability. Review release notes before upgrading.
As of the public disclosure date, there are no confirmed reports of active exploitation, but the potential for exploitation exists.
Refer to the Palo Alto Networks Security Advisories page for the official advisory regarding CVE-2026-0228.
Sube tu archivo de dependencias y detecta esta y otras CVEs al instante.