Palo Alto GlobalProtect sob ataque: Falha de bypass de autenticação entra na lista KEV da CISA
TL;DR
Palo Alto GlobalProtect sob ataque: Falha de bypass de autenticação entra na lista KEV da CISA
A Palo Alto Networks confirmou o pior: uma vulnerabilidade de alta severidade de bypass de autenticação, rastreada como CVE-2026-0257, está sendo explorada ativamente. Esta falha não é apenas um bug teórico; é uma brecha direta nos componentes de portal e gateway GlobalProtect do PAN-OS. Para um invasor, a matemática é simples: eles podem forjar cookies de autenticação para passar pela porta da frente da sua VPN sem nunca precisar de uma senha.
A situação escalou rapidamente. Após relatos de exploração direcionada, a CISA adicionou a vulnerabilidade ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Se você estiver executando configurações de firewall afetadas, considere este o seu alerta. O risco de acesso não autorizado à rede é alto, e a aplicação de patches não é opcional — é a única maneira de manter o perímetro intacto.
A mecânica da violação
Então, como um invasor consegue isso? Tudo se resume a uma fraqueza fundamental na forma como o PAN-OS lida com cookies de "Substituição de Autenticação" (Authentication Override). Quando esse recurso específico está ativado em um portal ou gateway GlobalProtect, o sistema torna-se suscetível a entradas forjadas.
De acordo com o aviso de segurança oficial da Palo Alto Networks, a vulnerabilidade é acionada precisamente quando esse mecanismo de substituição está ativo. É um caso clássico de confiar nos dados errados. A Rapid7, que observou a exploração ativa da vulnerabilidade, identificou duas ondas distintas de ataques: uma em 17 de maio de 2026 e uma segunda, mais agressiva, em 21 de maio. Não foram apenas sondagens; foram tentativas bem-sucedidas de estabelecer sessões VPN não autorizadas.
A indústria tomou nota do perigo. Embora a avaliação de impacto inicial tenha sido conservadora, a pontuação CVSSv4 atualizada para CVE-2026-0257 agora está em 7.8. Essa é uma classificação de alta severidade que reflete a realidade da ameaça: é fácil de explorar, não requer interação do usuário e está sendo usada por adversários do mundo real.
Seu ambiente está exposto?
Nem toda implementação do PAN-OS está em risco. Esta vulnerabilidade está estritamente ligada à configuração de "Substituição de Autenticação". Se você não tiver esse recurso ativado, você está seguro — mas não confie apenas na minha palavra. Verifique suas configurações.
Para ver se você está correndo riscos, acesse a interface de gerenciamento do PAN-OS e siga este caminho:
- Caminho de navegação: Network > GlobalProtect > Gateways > Agent > Client Settings
- Configuração alvo: "Accept cookie for authentication override"
Se essa caixa estiver marcada, você está vulnerável. O resumo detalhado de ameaças da Palo Alto vale a leitura para qualquer equipe de segurança que esteja tentando entender os padrões de ataque específicos que a Unit 42 tem monitorado. É uma visão sóbria de quão rapidamente esses bypasses podem ser transformados em armas.
Patching e mitigação
A correção é direta, mas traz um pouco de atrito. Como a vulnerabilidade está enraizada na forma como o firewall lida com cookies criptográficos, você precisa quebrar o ciclo antigo para iniciar um novo.
| Ação de Mitigação | Impacto nos Usuários |
|---|---|
| Aplicar Patch de Segurança | Força a reautenticação única para todos os usuários. |
| Desativar Substituição de Auth | Elimina a vulnerabilidade, mas exige login manual. |
| Atualização do Prisma Access | Gerenciado automaticamente pela Palo Alto Networks. |
Ao aplicar o patch, o sistema começará a gerar cookies usando uma metodologia mais robusta e segura. O efeito colateral imediato? Todo usuário ativo do GlobalProtect será desconectado e forçado a se reautenticar. É um incômodo, claro, mas necessário. É a única maneira de garantir que quaisquer cookies forjados que estejam circulando sejam inutilizados.
Para quem usa o Prisma Access, você pode respirar um pouco mais aliviado. A Palo Alto está cuidando do trabalho pesado em sua infraestrutura gerenciada na nuvem. Esses ambientes estão sendo atualizados automaticamente de acordo com o cronograma de manutenção padrão, o que significa que você não precisa mover um dedo.
Mantendo a vigilância
O fato de essa vulnerabilidade estar sendo explorada ativamente é um lembrete claro de que os dispositivos de borda são a primeira linha de defesa — e, muitas vezes, os primeiros a serem visados. Como essa falha permite acesso não autenticado, a janela de oportunidade para um invasor permanece aberta até que você a feche.
As equipes de segurança precisam analisar seus logs de VPN agora mesmo. Existem padrões de autenticação anômalos? Existem sessões sendo estabelecidas em horários estranhos ou de locais inesperados? Se você vir algo que não se encaixa no padrão, investigue imediatamente.
Com a falha agora oficialmente listada no catálogo KEV da CISA, a pressão aumentou. As agências federais já estão correndo contra o tempo para aplicar o patch, e as organizações privadas devem seguir o exemplo sem demora. Mesmo que você não esteja em um setor regulamentado, a combinação de exploração ativa e a classificação de alta severidade deve ser suficiente para colocar isso no topo da sua lista de prioridades.
A transição para um método de geração de cookies mais seguro é um passo crítico, mas não é o fim da história. Fique de olho nos logs do seu gateway GlobalProtect. Mesmo depois de aplicar o patch, você deve procurar por quaisquer sinais residuais de que alguém possa ter tentado passar pela porta antes de você trancá-la. No mundo da cibersegurança, ser proativo é a única maneira de se manter à frente. Mantenha seus sistemas atualizados, seus logs limpos e não presuma que você está seguro só porque ainda não viu um alerta.
