Palo Alto Networks emite patch de segurança urgente após exploração ativa de vulnerabilidade de bypass de autenticação
TL;DR
Palo Alto Networks emite patch de segurança urgente após exploração ativa de vulnerabilidade de bypass de autenticação
Imagem cortesia de The Hacker News
Se você utiliza a infraestrutura da Palo Alto Networks, pare o que está fazendo e verifique seus logs de atualização. A empresa acaba de lançar atualizações de segurança críticas para o PAN-OS e o Prisma Access e, desta vez, não se trata apenas de manutenção de rotina. Estamos diante de uma exploração ativa em ambiente real.
A situação gira em torno de dois problemas principais: um grave bypass de autenticação (CVE-2026-0257) que permite que invasores acessem sua VPN, e uma falha na interface de gerenciamento (CVE-2025-0108) que hackers estão encadeando com outras vulnerabilidades para obter acesso ao sistema. A Palo Alto Networks confirmou que, embora a exploração seja limitada no momento, ela está ocorrendo. Dispositivos não atualizados estão, essencialmente, vulneráveis.
O problema da VPN: CVE-2026-0257
Vamos falar primeiro do problema maior. O CVE-2026-0257 é um pesadelo com pontuação CVSS 7.8 para qualquer empresa que dependa do GlobalProtect para acesso remoto. Em sua essência, essa falha permite que um invasor não autenticado ignore as verificações de segurança e inicie uma sessão VPN. É o equivalente digital de alguém entrar pela sua porta da frente porque a fechadura foi instalada ao contrário.
A vulnerabilidade atinge especificamente configurações onde o portal ou gateway do GlobalProtect está ativo e certas condições relacionadas a configurações de certificados e cookies de substituição de autenticação são atendidas. Conforme relatado pelo The Hacker News, a Palo Alto Networks sinalizou esse problema pela primeira vez em 13 de maio de 2026. Em 29 de maio, as primeiras tentativas confirmadas de exploração foram detectadas. Se você ainda não aplicou o patch, você está oficialmente atrasado.
Riscos na interface de gerenciamento: CVE-2025-0108
Embora o bypass da VPN possa ganhar as manchetes, não ignore o CVE-2025-0108. É um problema de gravidade média (CVSS-BT 5.1) que afeta a interface web de gerenciamento do PAN-OS, mas não se deixe enganar por essa classificação "média".
A falha permite que um invasor não autenticado com acesso de rede à interface de gerenciamento acione scripts PHP específicos. O perigo real aqui não é a vulnerabilidade isolada; é como os invasores a estão utilizando. Vimos evidências de agentes de ameaças encadeando esse bug com duas vulnerabilidades mais antigas — CVE-2024-9474 e CVE-2025-0111 — para escalar seu impacto. É um cenário clássico onde várias falhas menores se somam para um comprometimento total do sistema.
Resumo do impacto das vulnerabilidades
| ID da Vulnerabilidade | Impacto Principal | Pontuação CVSS |
|---|---|---|
| CVE-2026-0257 | Acesso não autorizado à VPN | 7.8 |
| CVE-2025-0108 | Bypass da interface de gerenciamento | 5.1 |
Como proteger seu ambiente
Aplicar o patch é o primeiro passo inegociável. Se você não estiver na versão mais recente do PAN-OS ou do Prisma Access, você está deixando a porta aberta. Mas, como essas vulnerabilidades estão sendo exploradas ativamente, você precisa ir além de apenas clicar no botão "atualizar". Você precisa fortalecer sua configuração.
- Atualize imediatamente: Leve suas instâncias para as versões mais recentes fornecidas pelo fabricante. Não há solução alternativa para a falha de código subjacente.
- Restrinja o acesso de gerenciamento: Para o CVE-2025-0108, a melhor defesa é impedir que a interface de gerenciamento seja acessível pela internet pública. Restrinja o acesso apenas a endereços IP internos confiáveis. Se precisar de orientações sobre como fazer isso, confira o guia oficial sobre como proteger o acesso de gerenciamento da Palo Alto.
- Audite o GlobalProtect: Analise cuidadosamente as configurações do seu portal e gateway. Certifique-se de que seus cookies de substituição de autenticação sigam as melhores práticas de segurança e que suas configurações de certificado não estejam criando um vetor de bypass não intencional.
- Monitore os logs: Sua equipe de segurança deve estar atenta a chamadas de scripts PHP incomuns na interface de gerenciamento. Se você ainda possui vulnerabilidades legadas como CVE-2024-9474 ou CVE-2025-0111 em seu ambiente, você é um alvo principal para esses ataques encadeados.
O framework CVSS v4.0 destaca o quão crítico isso é. Quando a exploração ativa é confirmada, o tempo está correndo. A combinação de acesso não autenticado e a capacidade de executar scripts em interfaces de gerenciamento é uma receita para um colapso total da infraestrutura.
Mantenha-se atento ao portal de segurança da Palo Alto Networks. Esta é uma situação dinâmica e, à medida que a investigação sobre essas campanhas continua, mais orientações provavelmente surgirão. Não espere por uma notificação de violação para agir — proteja seu perímetro agora.
