Palo Alto Networks ha identificado múltiples vulnerabilidades que afectan a su solución Cortex XDR, comprometiendo la integridad, confidencialidad y eficacia de los mecanismos de protección en entornos empresariales. Estas fallas permiten desde la manipulación de información sensible hasta la evasión de controles de seguridad por parte de actores con distintos niveles de acceso.
A continuación, se enumeran las principales vulnerabilidades aprovechadas por los atacantes para comprometer los sistemas Cortex XDR:
- CVE-2026-0230
Esta vulnerabilidad permite que un administrador local en sistemas macOS deshabilite el agente Cortex XDR en versiones anteriores a 8.9.0, 8.7.101-CE y 8.3.102-CE. Esta condición puede ser aprovechada por malware para operar sin ser detectado, debilitando significativamente la postura de seguridad del endpoint. - CVE-2026-0231
Esta vulnerabilidad afecta al componente Cortex XDR Broker VM en versiones 30.0.0 a 30.0.48. Un usuario autenticado con acceso de red puede explotar el fallo al iniciar una sesión de terminal mediante la interfaz de usuario de Cortex, lo que permite la divulgación y modificación de información sensible dentro del sistema. - Fallo crítico en reglas BIOC (sin identificador CVE)
Se ha identificado un fallo crítico en el Cortex XDR Agent para Windows (versiones anteriores a 9.1 con content update inferior a 2160) que permite descifrar las reglas BIOC (Behavioral Indicators of Compromise). Esto permite a atacantes comprender y evadir los mecanismos de detección conductual, reduciendo la efectividad del sistema de protección.
Productos y versiones afectadas:
| CVE | PRODUCTOS | VERSIONES AFECTADAS | SOLUCION |
| CVE-2026-0230 | Cortex XDR Agent (macOS) | Versiones anteriores a 8.9.0, 8.7.101-CE y 8.3.102-CE | Actualizar a 8.9.0, 8.7.101-CE o 8.3.102-CE |
| CVE-2026-0231 | Cortex XDR Broker VM | 30.0.0 a 30.0.48 | Actualizar a versión 30.0.49 o superior |
| Sin CVE (Fallo BIOC) | Cortex XDR Agent (Windows) | Versiones anteriores a 9.1 con content update menor a 2160 | Actualizar a versión 9.1 con content update 2160 o superior |
Recomendaciones
- Actualizar inmediatamente todos los sistemas afectados a las versiones corregidas proporcionadas por el fabricante.
- Restringir el acceso a interfaces administrativas y monitorear el uso de sesiones de terminal en Cortex XDR.
- Implementar controles de seguridad adicionales para prevenir la desactivación no autorizada de agentes de protección.
- Revisar continuamente los indicadores de compromiso y fortalecer las políticas de detección conductual.
Referencias