Palo Alto Networks emite patch de segurança urgente após exploração ativa de vulnerabilidade na VPN GlobalProtect
TL;DR
Palo Alto Networks emite patch de segurança urgente após exploração ativa de vulnerabilidade na VPN GlobalProtect
Imagem cortesia de The Hacker News
A Palo Alto Networks acaba de lançar um patch de emergência para uma grave vulnerabilidade de desvio de autenticação, rastreada como CVE-2026-0257. Esta falha afeta os componentes de portal e gateway GlobalProtect do software PAN-OS, e não é algo que deva ser ignorado. Em resumo, ela permite que atacantes não autenticados contornem os protocolos de login padrão para estabelecer conexões VPN não autorizadas. Para qualquer empresa que dependa desses gateways, é uma enorme dor de cabeça de segurança.
A situação escalou rapidamente. O que começou como um relatório de vulnerabilidade padrão tornou-se um incidente de alta prioridade assim que pesquisadores confirmaram que agentes mal-intencionados já a estavam utilizando em ataques reais. Por causa disso, a Agência de Segurança Cibernética e de Infraestrutura (CISA) adicionou oficialmente a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Se você ainda não aplicou o patch, considere este o seu alerta.
Como funciona a exploração
A raiz do problema reside na forma como o PAN-OS lida com cookies de substituição de autenticação (authentication override). Se você configurou seu portal ou gateway GlobalProtect para aceitar esses cookies — um recurso de conveniência comum —, o sistema falha ao validar corretamente a sessão. Isso essencialmente deixa a porta destrancada. Isso é particularmente perigoso em ambientes onde o Serviço de Autenticação em Nuvem (CAS) está desativado, pois força o sistema a depender de um mecanismo interno que está atualmente totalmente aberto à manipulação.
A mecânica técnica é surpreendentemente direta: ao criar solicitações específicas, um atacante pode ignorar completamente a necessidade de credenciais válidas. Eles estão efetivamente se passando por um usuário legítimo. Pesquisadores da Rapid7 detectaram essa atividade pela primeira vez em 17 de maio de 2026. As sondagens iniciais foram rastreadas até infraestruturas hospedadas em provedores como Vultr e Dromatics Systems, o que nos diz que não foi apenas uma falha aleatória — foi um esforço coordenado para buscar gateways VPN expostos.
Embora a Palo Alto Networks tenha inicialmente classificado o risco como moderado, a realidade da exploração ativa forçou a empresa a elevar a pontuação CVSSv4 para 7.8. Essa é uma classificação de severidade "Alta", que leva em conta a facilidade de execução e o dano que um atacante pode causar uma vez dentro do seu túnel.
Sua infraestrutura está vulnerável?
Nem toda implementação do PAN-OS está em risco. A falha atinge especificamente sistemas onde a "substituição de autenticação" (authentication override) está ativada — um recurso projetado para manter os usuários conectados sem forçá-los a fazer login novamente toda vez que a sessão expira.
Para verificar se você está na mira, dê uma olhada na sua interface de gerenciamento:
- Vá para a aba Network e selecione GlobalProtect.
- Verifique as configurações de Gateways e Agent.
- Procure pela caixa de seleção "Accept cookie for authentication override".
- Verifique se o seu Serviço de Autenticação em Nuvem (CAS) está desativado. Se essa caixa estiver marcada e o CAS estiver desligado, você provavelmente está exposto.
Patching e Mitigação
A Palo Alto Networks divulgou o aviso em 13 de maio de 2026 e confirmou a exploração ativa no final daquele mês. A única solução real é aplicar os patches fornecidos pelo fabricante. Como se trata de uma falha de lógica na forma como os cookies são gerados e validados, a atualização altera fundamentalmente a forma como o sistema lida com as sessões.
| Ação | Resultado |
|---|---|
| Aplicar Patch de Segurança | Corrige a lógica de desvio de autenticação. |
| Reautenticação | Força um login único para todos os usuários do GlobalProtect. |
| Prisma Access | Atualizado automaticamente via cronograma de manutenção padrão. |
A aplicação do patch forçará uma reautenticação única para todos os seus usuários. É um incômodo, claro, mas é necessário. O patch força o sistema a regenerar cookies de autenticação usando um método criptográfico mais seguro, o que efetivamente encerra quaisquer sessões existentes potencialmente comprometidas.
Para aqueles que utilizam o Prisma Access, vocês estão com sorte — a Palo Alto Networks está gerenciando as atualizações automaticamente. Apenas fique de olho no seu console de administração para quaisquer notificações de manutenção.
O panorama geral
A mudança de um bug teórico para um explorado ativamente muda tudo. Os atacantes estão usando provedores de hospedagem comerciais para escalar seus esforços, o que significa que são agressivos e possuem bons recursos.
As equipes de segurança precisam estar vigilantes. Revise seus logs em busca de padrões de autenticação estranhos ou conexões VPN provenientes de faixas de IP que não fazem sentido. Como esse exploit ignora a tela de login, seus alertas padrão baseados em credenciais podem não ser disparados. Você precisa procurar por sessões VPN bem-sucedidas que não possuem um evento de login correspondente — essa é a sua prova definitiva.
Como apontou o The Hacker News, o perigo aqui é que, uma vez que um atacante passa pelo portal, ele é essencialmente um usuário confiável. Eles podem escanear sua rede interna, mover-se lateralmente e implantar cargas úteis sem que ninguém perceba.
Se você não puder aplicar o patch imediatamente, faça um favor a si mesmo e desative o recurso "Accept cookie for authentication override". Seus usuários podem reclamar por terem que fazer login com mais frequência, mas é um preço pequeno a pagar para manter sua rede segura enquanto você providencia a atualização. Fique atento ao portal de avisos de segurança da Palo Alto Networks — a situação é dinâmica e mais orientações podem surgir em breve.