Palo Alto Networks emite patch urgente após exploração ativa de vulnerabilidade em gateway VPN corporativo

CVE-2026-0257 Palo Alto Networks VPN GlobalProtect vulnerability enterprise VPN security patch authentication bypass
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
2 de junho de 2026
4 min de leitura
Palo Alto Networks emite patch urgente após exploração ativa de vulnerabilidade em gateway VPN corporativo

TL;DR

• A CVE-2026-0257 permite que atacantes contornem a autenticação via cookies do GlobalProtect. • A exploração ativa foi confirmada por pesquisadores de segurança. • A CISA adicionou esta falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). • Atacantes podem se passar por administradores para obter acesso total à rede. • A aplicação imediata de patches é necessária para proteger gateways VPN corporativos.

Palo Alto Networks emite patch urgente após exploração ativa de vulnerabilidade em gateway VPN corporativo

Se você utiliza uma VPN da Palo Alto Networks, pare de ler e comece a verificar seus logs. A empresa acaba de confirmar que a CVE-2026-0257 — uma falha grave de bypass de autenticação — não é mais apenas uma preocupação teórica. Ela está sendo explorada ativamente no mundo real.

Esta não é apenas mais uma atualização de rotina. A vulnerabilidade atinge as configurações do portal e gateway GlobalProtect no PAN-OS e no Prisma Access. Em termos simples? Os atacantes estão encontrando maneiras de entrar em redes corporativas internas sem nunca precisar de uma senha válida.

Quando a vulnerabilidade surgiu pela primeira vez em 13 de maio de 2026, ela foi classificada com uma pontuação CVSS de 7.8. Inicialmente, parecia um incômodo de "severidade média". Mas o cenário mudou no momento em que relatos de exploração ativa chegaram. Agora, desde agências federais até pesquisadores de segurança independentes estão soando o alarme. Os atacantes descobriram como forjar cookies de autenticação, disfarçando-se efetivamente como funcionários legítimos. Uma vez dentro, eles se tornam fantasmas no sistema.

A mecânica da violação

Então, como eles estão fazendo isso? A vulnerabilidade reside na forma como os gateways GlobalProtect lidam com cookies de substituição de autenticação (authentication override). Se você tem esses cookies ativados e suas configurações de certificado estão definidas de uma maneira específica, o sistema basicamente esquece de verificar se a sessão é realmente legítima.

É o clássico cenário de "porta da frente deixada entreaberta". Ao manipular esses tokens de sessão, um atacante ganha exatamente as mesmas permissões do usuário que está impersonando. Se eles sequestrarem a sessão de um administrador de alto nível, eles terão as chaves do reino.

Palo Alto Networks emite patch urgente após exploração ativa de vulnerabilidade em gateway VPN corporativo

Imagem cortesia de The Hacker News

A linha do tempo aqui é brutal. Pesquisadores da Rapid7 detectaram tentativas de exploração já em 17 de maio de 2026. Essa é uma margem extremamente estreita entre o aviso inicial e a primeira onda de ataques reais. Para muitas equipes de TI, o "ciclo de patching" tornou-se uma corrida contra o tempo.

A situação escalou em 29 de maio de 2026, quando a Agência de Segurança Cibernética e de Infraestrutura (CISA) incluiu a falha em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Quando a CISA toma uma atitude como essa, é um sinal claro para todas as agências federais e para o setor privado de que a ameaça é real, atual e perigosa.

A realidade do risco

Se você está se perguntando se está na mira, verifique sua configuração do GlobalProtect. A vulnerabilidade atinge especificamente ambientes que usam a funcionalidade de substituição de autenticação. Se suas configurações de certificado ou de substituição não estiverem alinhadas com os requisitos de segurança do fornecedor, você está vulnerável. A Palo Alto Networks publicou o aviso de segurança oficial para a CVE-2026-0257, e é leitura obrigatória para qualquer administrador.

Atributo Detalhes
ID CVE CVE-2026-0257
Pontuação CVSS 7.8 (Média)
Produtos Afetados PAN-OS, Prisma Access (GlobalProtect)
Status de Exploração Explorada ativamente no mundo real
Risco Principal Bypass de autenticação / Acesso não autorizado à VPN

Não deixe a pontuação "Média" do CVSS enganar você. Como esse exploit depende de cookies forjados, suas defesas de perímetro padrão podem nem detectar a intrusão. Se um atacante tiver os detalhes da configuração do seu gateway, ele já está com meio caminho andado. A única maneira real de fechar a porta é aplicar os patches fornecidos pelo fornecedor. Não há atalhos aqui.

O que você deve fazer agora?

O consenso da indústria é claro: trate isso como um exercício de emergência. Como apontou o The Hacker News, a barreira de entrada para os atacantes aqui é ridiculamente baixa. É um alvo de alto valor para qualquer pessoa que queira estabelecer uma presença silenciosa e persistente em uma rede corporativa.

A equipe de inteligência de ameaças da Rapid7 tem monitorado essas tentativas, observando que elas visam claramente contornar a camada de VPN para facilitar o movimento lateral e o roubo de dados. Uma vez dentro, a VPN — sua primeira linha de defesa — torna-se um passivo.

Como o The Register observou corretamente, este bug passou de um aviso de "fique de olho" para uma emergência de "todos a postos".

Aqui está seu plano de ação imediato:

  • Audite suas configurações: Verifique as configurações do seu portal e gateway GlobalProtect. Os cookies de substituição de autenticação estão ativados? Se sim, você está correndo contra o tempo.
  • Verificação de versão: Compare suas versões atuais do PAN-OS e do Prisma Access com os requisitos do fornecedor.
  • Aplique o patch imediatamente: Não espere pela próxima janela de manutenção. Aplique as atualizações agora.
  • Revisão de logs: Analise seus logs de VPN em busca de qualquer atividade estranha. Procure por atividades de sessão que não correspondam ao comportamento típico do usuário — especialmente logins de geografias inesperadas ou dispositivos que você não reconhece.
  • Mantenha-se informado: Mantenha o portal de segurança oficial da Palo Alto Networks aberto em uma aba. As coisas estão mudando rapidamente e eles estão atualizando as orientações conforme aprendem mais.

Esta é uma situação fluida. Como o exploit imita usuários legítimos, você não pode apenas procurar por tráfego "malicioso" — você precisa procurar por tráfego anômalo. Um funcionário fez login de uma nova cidade? Uma sessão permaneceu aberta por um período incomum?

A inclusão deste bug no catálogo KEV da CISA confirma que não se trata apenas de alguns incidentes isolados. É uma tendência. A Palo Alto Networks está trabalhando arduamente para ajudar os clientes a protegerem seus sistemas, mas o trabalho pesado precisa ser feito por você. Se você ainda não auditou as configurações do seu gateway, faça isso hoje. A janela para se antecipar a isso está fechando, e os atacantes não estão diminuindo o ritmo.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Notícias relacionadas

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools
state-sponsored cyber espionage infrastructure 2026

State-Sponsored Cyber Espionage Campaigns Increasingly Target Global Energy and Defense Infrastructure Using AI Tools

Discover how state-sponsored actors use AI to infiltrate global energy and defense infrastructure. Learn about the latest cyber espionage risks and defense trends.

Por Marcus Chen 3 de junho de 2026 4 min de leitura
common.read_full_article
Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks
VPN protocol vulnerabilities 2026

Russian State-Sponsored Actors Target RDP and VPN Protocol Vulnerabilities to Compromise Enterprise Networks

Russian state-sponsored actors are exploiting RDP services and VPN vulnerabilities to breach enterprise networks. Learn how to defend your critical infrastructure.

Por Elena Voss 1 de junho de 2026 5 min de leitura
common.read_full_article
Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams
enterprise VPN adoption

Surge in Enterprise VPN Adoption Driven by Stricter Data Privacy Compliance for Remote Teams

Discover why enterprise VPN adoption is skyrocketing as companies face stricter data privacy compliance and the rising costs of remote work security breaches.

Por Sophia Andersson 31 de maio de 2026 4 min de leitura
common.read_full_article
Authorities Seize First VPN Infrastructure Used to Facilitate Large-Scale Ransomware Operations
First VPN seizure

Authorities Seize First VPN Infrastructure Used to Facilitate Large-Scale Ransomware Operations

Global law enforcement has seized 'First VPN,' a bulletproof service used by 25+ ransomware groups for over a decade. Learn how this cybercrime hub was dismantled.

Por James Okoro 30 de maio de 2026 4 min de leitura
common.read_full_article