Uma vulnerabilidade no PAN-OS da Palo Alto Networks permite que invasores forjem cookies de autenticação e acessem redes VPN corporativas sem credenciais. A Rapid7 confirmou exploração ativa desde 17 de maio de 2026 em múltiplos clientes. A falha, catalogada como CVE-2026-0257, afeta firewalls GlobalProtect com configuração específica de certificados e já foi adicionada ao catálogo KEV da CISA.
Como funciona o ataque
A vulnerabilidade CVE-2026-0257 explora um recurso chamado “authentication override” do GlobalProtect, que permite ao firewall emitir cookies de sessão para usuários autenticados. O problema reside no fato de que o sistema descriptografa o cookie e confia cegamente no conteúdo, sem qualquer verificação de integridade ou assinatura. Se o certificado usado para criptografar esses cookies for o mesmo do portal HTTPS, o invasor pode usar a chave pública visível para forjar um cookie válido com nome de usuário arbitrário — no caso, a conta de administrador.
Em termos técnicos, a função main_DecryptAppAuthCookie no binário /usr/local/bin/gpsvc recebe o cookie, decodifica de base64 e descriptografa com a chave privada. O conteúdo resultante — nome de usuário, domínio, host ID, sistema operacional e timestamp — é aceito sem nenhuma validação adicional. Qualquer pessoa com acesso à chave pública do certificado correto pode criar um cookie arbitrário e autenticar-se sem credenciais.
Ondas de exploração detectadas
A Rapid7 identificou duas ondas distintas de exploração. A primeira ocorreu em 18 de maio de 2026, com conexões originadas do provedor de hospedagem Vultr (IP 104.207.144.154). Nessa onda, invasores realizaram autenticações suspeitas via cookie na conta admin em múltiplos clientes monitorados pela equipe MDR (Managed Detection and Response).
Uma segunda onda foi registrada em 21 de maio, dessa vez via provedor Dromatics Systems (IP 146.19.216.125). Nesta etapa, os invasores conseguiram estabelecer sessões VPN completas em parte dos clientes comprometidos, obtendo acesso à rede interna. A Rapid7 atribui ambas as ondas ao mesmo agente de ameaça, com base no endereço MAC consistente nos logs. Em 8 dos 10 clientes afetados, o cookie forjado foi aceito sem que uma sessão VPN completa fosse estabelecida.
| Versão PAN-OS | Versões afetadas | Correção recomendada |
|---|---|---|
| PAN-OS 12.1 | 12.1.2 a 12.1.4-h* | 12.1.4-h6 ou 12.1.7+ |
| PAN-OS 11.2 | 11.2.0 a 11.2.11 | 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 ou 11.2.12+ |
| PAN-OS 11.1 | 11.1.0 a 11.1.14 | 11.1.4-h33, 11.1.6-h32, 11.1.10-h25 ou 11.1.15+ |
| PAN-OS 10.2 | 10.2.0 a 10.2.18-h* | 10.2.7-h34, 10.2.10-h36, 10.2.13-h21 ou 10.2.18-h6+ |
| Prisma Access 11.2 | 11.2.0 a 11.2.7-h* | 11.2.7-h13+ |
Criticidade além do score
Embora o CVSS v4 atribua pontuação 7.8 (alta), a Rapid7 recomenda tratar a falha como crítica. Um bypass de autenticação em um appliance VPN voltado para a borda da rede corporativa representa risco severo — o invasor não precisa de credenciais, interação do usuário ou acesso prévio. A falha foi classificada como CWE-565 (confiança em cookies sem validação de integridade) e recebeu urgência máxima (“HIGHEST”) no advisory da própria Palo Alto Networks.
O requisito de configuração específica — certificado de autenticação override igual ao do portal HTTPS — reduz o número de instalações vulneráveis, mas não elimina o risco. Qualquer firewall GlobalProtect com authentication override habilitado e certificado reutilizado está exposto. A vulnerabilidade foi adicionada ao catálogo KEV da CISA em 29 de maio de 2026.
O que fazer agora
Organizações que usam PAN-OS com GlobalProtect devem executar os seguintes passos imediatos:
- Verificar se o recurso de authentication override está habilitado no portal ou gateway GlobalProtect (Network > GlobalProtect > Portals/Gateways > Agent > Authentication Override)
- Se habilitado, confirmar se o certificado usado para cookies é diferente do certificado HTTPS do portal
- Aplicar o patch correspondente à versão de PAN-OS em uso, conforme tabela acima
- Revisar logs GlobalProtect em busca de autenticações via cookie suspeitas desde 17 de maio de 2026, especialmente logins na conta admin originados de IPs de provedores de hospedagem
- Após a atualização, todos os usuários VPN precisarão se reautenticar — cookies antigos são invalidados pelo patch