Exploração ativa de falha de bypass de autenticação no Palo Alto GlobalProtect gera alertas urgentes de segurança corporativa
TL;DR
Palo Alto GlobalProtect sob ataque: falha de bypass de autenticação entra na lista KEV da CISA
A Palo Alto Networks confirmou o pior: uma vulnerabilidade de alta severidade de bypass de autenticação, rastreada como CVE-2026-0257, está sendo explorada ativamente. Esta falha não é apenas um bug teórico; é uma brecha direta nos componentes de portal e gateway GlobalProtect do PAN-OS. Para um atacante, a lógica é simples: eles podem forjar cookies de autenticação para entrar diretamente pela porta da frente da sua VPN, sem nunca precisar de uma senha.
A situação escalou rapidamente. Após relatos de exploração direcionada, a CISA incluiu a vulnerabilidade em seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Se você utiliza configurações de firewall afetadas, considere este um alerta urgente. O risco de acesso não autorizado à rede é alto, e a aplicação de patches não é opcional — é a única maneira de manter o perímetro intacto.
A mecânica da invasão
Então, como um atacante consegue realizar isso? Tudo se resume a uma fraqueza fundamental na forma como o PAN-OS lida com cookies de "Authentication Override" (Substituição de Autenticação). Quando esse recurso específico está ativado em um portal ou gateway GlobalProtect, o sistema torna-se suscetível a entradas forjadas.
De acordo com o aviso de segurança oficial da Palo Alto Networks, a vulnerabilidade é acionada precisamente quando esse mecanismo de substituição está ativo. É um caso clássico de confiar nos dados errados. A Rapid7, que observou a exploração ativa da vulnerabilidade, identificou duas ondas distintas de ataques: uma em 17 de maio de 2026 e uma segunda, mais agressiva, em 21 de maio. Não foram apenas sondagens; foram tentativas bem-sucedidas de estabelecer sessões de VPN não autorizadas.
O setor tomou nota do perigo. Embora a avaliação de impacto inicial tenha sido conservadora, a pontuação CVSSv4 atualizada para o CVE-2026-0257 agora está em 7.8. Essa é uma classificação de alta severidade que reflete a realidade da ameaça: é fácil de explorar, não requer interação do usuário e está sendo usada por adversários reais.
Seu ambiente está exposto?
Nem toda implementação do PAN-OS está em risco. Esta vulnerabilidade está estritamente ligada à configuração de "Authentication Override". Se você não tem esse recurso ativado, você está seguro — mas não confie apenas na minha palavra. Verifique suas configurações.
Para saber se você está correndo riscos, acesse a interface de gerenciamento do PAN-OS e siga este caminho:
- Caminho de navegação: Network > GlobalProtect > Gateways > Agent > Client Settings
- Configuração alvo: "Accept cookie for authentication override"
Se essa caixa estiver marcada, você está vulnerável. O resumo detalhado de ameaças da Palo Alto vale a leitura para qualquer equipe de segurança que esteja tentando entender os padrões de ataque específicos que a Unit 42 tem monitorado. É uma visão sóbria de quão rapidamente esses bypasses podem ser transformados em armas.
Patching e mitigação
A correção é direta, mas traz um pouco de atrito. Como a vulnerabilidade está enraizada na forma como o firewall lida com cookies criptográficos, você precisa quebrar o ciclo antigo para iniciar um novo.
| Ação de Mitigação | Impacto nos Usuários |
|---|---|
| Aplicar Patch de Segurança | Força a reautenticação única para todos os usuários. |
| Desativar Auth Override | Elimina a vulnerabilidade, mas exige login manual. |
| Atualização do Prisma Access | Gerenciado automaticamente pela Palo Alto Networks. |
Ao aplicar o patch, o sistema começará a gerar cookies usando uma metodologia mais robusta e segura. O efeito colateral imediato? Todos os usuários ativos do GlobalProtect serão desconectados e forçados a se reautenticar. É um incômodo, claro, mas é necessário. É a única maneira de garantir que quaisquer cookies forjados que estejam circulando sejam inutilizados.
Para aqueles que usam o Prisma Access, vocês podem respirar um pouco mais aliviados. A Palo Alto está cuidando do trabalho pesado em sua infraestrutura gerenciada na nuvem. Esses ambientes estão sendo atualizados automaticamente de acordo com o cronograma de manutenção padrão, o que significa que você não precisa mover um dedo.
Mantendo a vigilância
O fato de essa vulnerabilidade estar sendo explorada ativamente é um lembrete claro de que dispositivos de borda são a primeira linha de defesa — e, muitas vezes, os primeiros a serem visados. Como essa falha permite acesso não autenticado, a janela de oportunidade para um invasor permanece aberta até que você a feche.
As equipes de segurança precisam analisar seus logs de VPN agora mesmo. Existem padrões de autenticação anômalos? Existem sessões sendo estabelecidas em horários estranhos ou de locais inesperados? Se você vir algo que não se encaixa no padrão, investigue imediatamente.
Com a falha agora oficialmente listada no catálogo KEV da CISA, a pressão aumentou. Agências federais já estão correndo contra o tempo para aplicar o patch, e organizações privadas devem seguir o exemplo sem demora. Mesmo que você não esteja em um setor regulamentado, a combinação de exploração ativa e a classificação de alta severidade deve ser suficiente para colocar isso no topo da sua lista de prioridades.
A transição para um método de geração de cookies mais seguro é um passo crítico, mas não é o fim da história. Fique de olho nos logs do seu gateway GlobalProtect. Mesmo após aplicar o patch, você desejará procurar por quaisquer sinais residuais de que alguém possa ter tentado passar pela porta antes de você trancá-la. No mundo da cibersegurança, ser proativo é a única maneira de ficar à frente. Mantenha seus sistemas atualizados, seus logs limpos e não presuma que está seguro só porque ainda não viu um alerta.
