Exploração ativa de vulnerabilidade em gateway VPN leva a vazamento de dados corporativos no Paquistão
TL;DR
Exploração ativa de vulnerabilidade em gateway VPN leva a vazamento de dados corporativos no Paquistão
A Palo Alto Networks acaba de divulgar uma notícia alarmante: sua tecnologia de VPN PAN-OS GlobalProtect está sob ataque. Uma falha crítica de contorno de autenticação, rastreada como CVE-2026-0257, está sendo explorada ativamente no mundo real. Com uma pontuação CVSS de 7.8, este não é um bug menor que pode ser ignorado. É uma chave mestra. Agentes não autorizados estão ignorando protocolos de autenticação e entrando em redes corporativas sem precisar de uma única credencial válida.
A falha atinge os componentes de portal e gateway do PAN-OS onde é mais crítico. Ao simplesmente forjar cookies de autenticação, os invasores podem se passar por qualquer pessoa — até mesmo administradores locais. Uma vez dentro, as chaves do reino estão efetivamente em suas mãos. A CISA e outros gigantes da segurança emitiram avisos urgentes: atualize seus sistemas ou prepare-se para as consequências.
A mecânica da violação
Então, como eles estão fazendo isso? Tudo se resume a um "aperto de mão" mal executado entre "cookies de substituição de autenticação" e a reutilização de certificados. Em ambientes onde o mesmo certificado lida tanto com HTTPS quanto com autenticação, o sistema se confunde. Ele para de verificar a legitimidade dos cookies, essencialmente estendendo o tapete vermelho para qualquer pessoa que saiba como criar uma sessão forjada.
De acordo com a Rapid7, esta não foi apenas uma ameaça teórica; eles detectaram os primeiros sinais de exploração ativa em 17 de maio de 2026. Ainda não sabemos exatamente quem está por trás disso, mas a precisão sugere uma campanha direcionada para invadir ambientes corporativos.

A situação escalou rapidamente. A Palo Alto Networks elevou a gravidade do bug de "Média" para "Alta" assim que confirmaram que dispositivos não corrigidos estavam sendo invadidos. Se sua organização depende do GlobalProtect, é hora de parar o que você está fazendo e auditar suas configurações.
Resumo da vulnerabilidade
| Recurso | Detalhes |
|---|---|
| ID da vulnerabilidade | CVE-2026-0257 |
| Pontuação CVSS | 7.8 (Alta) |
| Componente principal | Portal/Gateway PAN-OS GlobalProtect |
| Data da exploração | Observada desde 17 de maio de 2026 |
| Status CISA KEV | Adicionado em 29 de maio de 2026 |
Mitigação: O que você precisa fazer
A solução definitiva aqui é o patch. A Palo Alto Networks lançou a correção, e ela precisa ser sua prioridade máxima. Se você está em uma situação onde a atualização imediata é impossível — talvez devido a restrições de sistemas legados ou janelas complexas de gerenciamento de mudanças — você precisa analisar suas configurações de substituição de autenticação imediatamente.
Aqui está sua lista de verificação para controle de danos:
- Atualize, atualize, atualize: Instale as atualizações mais recentes do PAN-OS. Não espere pela próxima janela de manutenção.
- Audite sua configuração: Analise as configurações do seu gateway e portal GlobalProtect. A "substituição de autenticação" (authentication override) está ativada? Você está reutilizando certificados para HTTPS e autenticação? Se sim, você está na zona de perigo.
- Monitore os logs: Fique de olho nos seus logs de VPN. Procure por padrões de autenticação estranhos ou sessões que não correspondem ao comportamento típico do usuário.
- Mantenha-se informado: Acompanhe o The Hacker News e o aviso oficial do fornecedor para quaisquer novos indicadores de comprometimento.
Embora não haja evidências imediatas de invasores se movendo lateralmente pelas redes ainda, isso é um consolo pequeno. Um invasor com privilégios de administrador local no seu gateway pode causar uma quantidade massiva de danos antes mesmo de você perceber que eles estão lá.
O fato de a CISA ter adicionado isso à sua lista de Vulnerabilidades Exploradas Conhecidas (KEV) em 29 de maio de 2026 diz tudo o que você precisa saber sobre a urgência. Agências federais estão correndo contra o tempo, e empresas privadas deveriam fazer o mesmo. Equipamentos voltados para a borda da rede, como gateways VPN, são a porta de entrada para o seu negócio; se você a deixar destrancada, não pode se surpreender quando alguém entrar.
As equipes de segurança precisam ficar atentas. Como esse exploit depende de cookies forjados, sua autenticação multifator padrão pode não salvá-lo se o processo de validação subjacente estiver quebrado. Ao restringir essas dependências de configuração específicas, você pode fechar a porta para esses intrusos e evitar que sua rede se torne a próxima manchete.