Palo Alto Networks emite patch de segurança urgente após exploração ativa de vulnerabilidade na VPN GlobalProtect

CVE-2026-0257 Palo Alto Networks vulnerability GlobalProtect VPN exploit PAN-OS security patch CISA KEV catalog
J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 
28 de junho de 2026
4 min de leitura
Palo Alto Networks emite patch de segurança urgente após exploração ativa de vulnerabilidade na VPN GlobalProtect

TL;DR

• A Palo Alto Networks lançou um patch de emergência para a CVE-2026-0257. • A vulnerabilidade permite que atacantes contornem protocolos de autenticação VPN. • A CISA adicionou a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). • Atacantes estão explorando ativamente a falha em ataques reais. • Administradores devem atualizar o PAN-OS imediatamente para proteger os gateways corporativos.

Palo Alto Networks emite patch de segurança urgente após exploração ativa de vulnerabilidade na VPN GlobalProtect

Imagem cortesia de The Hacker News

A Palo Alto Networks acaba de lançar um patch de emergência para uma grave vulnerabilidade de desvio de autenticação, rastreada como CVE-2026-0257. Esta falha afeta os componentes de portal e gateway GlobalProtect do software PAN-OS, e não é algo que deva ser ignorado. Em resumo, ela permite que atacantes não autenticados contornem os protocolos de login padrão para estabelecer conexões VPN não autorizadas. Para qualquer empresa que dependa desses gateways, é uma enorme dor de cabeça de segurança.

A situação escalou rapidamente. O que começou como um relatório de vulnerabilidade padrão tornou-se um incidente de alta prioridade assim que pesquisadores confirmaram que agentes mal-intencionados já a estavam utilizando em ataques reais. Por causa disso, a Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou oficialmente a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Se você ainda não aplicou o patch, considere este o seu alerta.

Como funciona a exploração

A raiz do problema reside na forma como o PAN-OS lida com cookies de substituição de autenticação (authentication override). Se você configurou seu portal ou gateway GlobalProtect para aceitar esses cookies — um recurso de conveniência comum —, o sistema falha ao validar corretamente a sessão. Isso essencialmente deixa a porta destrancada. Isso é particularmente perigoso em ambientes onde o Serviço de Autenticação em Nuvem (CAS) está desativado, pois força o sistema a depender de um mecanismo interno que está atualmente totalmente aberto à manipulação.

A mecânica técnica é surpreendentemente direta: ao criar solicitações específicas, um atacante pode ignorar completamente a necessidade de credenciais válidas. Eles estão efetivamente se passando por um usuário legítimo. Pesquisadores da Rapid7 detectaram essa atividade pela primeira vez em 17 de maio de 2026. As sondagens iniciais foram rastreadas até infraestruturas hospedadas em provedores como Vultr e Dromatics Systems, o que nos diz que não foi apenas uma falha aleatória — foi um esforço coordenado para buscar gateways VPN expostos.

Embora a Palo Alto Networks tenha inicialmente classificado o risco como moderado, a realidade da exploração ativa forçou a empresa a elevar a pontuação CVSSv4 para 7.8. Essa é uma classificação de severidade "Alta", que leva em conta a facilidade de execução e o dano que um atacante pode causar uma vez dentro do seu túnel.

Sua infraestrutura está vulnerável?

Nem toda implementação do PAN-OS está em risco. A falha atinge especificamente sistemas onde a "substituição de autenticação" (authentication override) está ativada — um recurso projetado para manter os usuários conectados sem forçá-los a fazer login novamente toda vez que a sessão expira.

Para verificar se você está na mira, dê uma olhada na sua interface de gerenciamento:

  • Vá para a aba Network e selecione GlobalProtect.
  • Verifique as configurações de Gateways e Agent.
  • Procure pela caixa de seleção "Accept cookie for authentication override".
  • Verifique se o seu Serviço de Autenticação em Nuvem (CAS) está desativado. Se essa caixa estiver marcada e o CAS estiver desligado, você provavelmente está exposto.

Patching e Mitigação

A Palo Alto Networks divulgou o aviso em 13 de maio de 2026 e confirmou a exploração ativa no final daquele mês. A única solução real é aplicar os patches fornecidos pelo fabricante. Como se trata de uma falha de lógica na forma como os cookies são gerados e validados, a atualização altera fundamentalmente a forma como o sistema lida com as sessões.

Ação Resultado
Aplicar Patch de Segurança Corrige a lógica de desvio de autenticação.
Reautenticação Força um login único para todos os usuários do GlobalProtect.
Prisma Access Atualizado automaticamente via cronograma de manutenção padrão.

A aplicação do patch forçará uma reautenticação única para todos os seus usuários. É um incômodo, claro, mas é necessário. O patch força o sistema a regenerar cookies de autenticação usando um método criptográfico mais seguro, o que efetivamente encerra quaisquer sessões existentes potencialmente comprometidas.

Para aqueles que utilizam o Prisma Access, vocês estão com sorte — a Palo Alto Networks está gerenciando as atualizações automaticamente. Apenas fique de olho no seu console de administração para quaisquer notificações de manutenção.

O panorama geral

A mudança de um bug teórico para um explorado ativamente muda tudo. Os atacantes estão usando provedores de hospedagem comerciais para escalar seus esforços, o que significa que são agressivos e possuem bons recursos.

As equipes de segurança precisam estar vigilantes. Revise seus logs em busca de padrões de autenticação estranhos ou conexões VPN provenientes de faixas de IP que não fazem sentido. Como esse exploit ignora a tela de login, seus alertas padrão baseados em credenciais podem não ser disparados. Você precisa procurar por sessões VPN bem-sucedidas que não possuem um evento de login correspondente — essa é a sua prova definitiva.

Como apontou o The Hacker News, o perigo aqui é que, uma vez que um atacante passa pelo portal, ele é essencialmente um usuário confiável. Eles podem escanear sua rede interna, mover-se lateralmente e implantar cargas úteis sem que ninguém perceba.

Se você não puder aplicar o patch imediatamente, faça um favor a si mesmo e desative o recurso "Accept cookie for authentication override". Seus usuários podem reclamar por terem que fazer login com mais frequência, mas é um preço pequeno a pagar para manter sua rede segura enquanto você providencia a atualização. Fique atento ao portal de avisos de segurança da Palo Alto Networks — a situação é dinâmica e mais orientações podem surgir em breve.

J
James Okoro

Ethical Hacking & Threat Intelligence Editor

 

James Okoro is a certified ethical hacker (CEH) and cybersecurity journalist with a background in military intelligence. After serving as a cyber operations analyst, he transitioned into the private sector, working as a threat intelligence consultant before finding his voice as a writer. James has covered major data breaches, ransomware campaigns, and state-sponsored cyberattacks for several leading security publications. He brings a tactical, insider perspective to his reporting on the ever-evolving threat landscape.

Notícias relacionadas

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security
WireGuard and OpenVPN protocol security updates

Private Internet Access Updates WireGuard and OpenVPN Protocol Implementations to Strengthen Remote Access Security

Private Internet Access upgrades WireGuard and OpenVPN protocols to boost remote access security, performance, and encryption stability. Learn how it impacts you.

Por Viktor Sokolov 10 de julho de 2026 4 min de leitura
common.read_full_article
Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways
CitrixBleed

Critical CitrixBleed Vulnerability Under Active Exploitation Prompts Urgent Security Patch for NetScaler Gateways

Critical vulnerability CVE-2023-4966 is under active exploitation. Patch your NetScaler ADC and Gateway appliances immediately to prevent session hijacking.

Por Marcus Chen 9 de julho de 2026 4 min de leitura
common.read_full_article
WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed
CVE-2026-13368

WatchGuard Issues Third Critical IKEv2 Patch in Ten Months as Legacy Firebox Devices Remain Exposed

WatchGuard issues third critical IKEv2 patch in ten months. Learn how CVE-2026-13368 affects your Firebox appliances and the risks to legacy hardware.

Por Elena Voss 8 de julho de 2026 4 min de leitura
common.read_full_article
Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026
Dropbox security breach

Dropbox Security Breach Prompts Enterprise Review of Encryption Protocols and Remote Access Alternatives for 2026

Following the Dropbox security breach, enterprises are urgently reviewing encryption protocols and remote access alternatives. Learn the impact and 2026 security trends.

Por James Okoro 7 de julho de 2026 4 min de leitura
common.read_full_article