Uma vulnerabilidade de bypass de autenticação no PAN-OS da Palo Alto Networks, identificada como CVE-2026-0257, está sendo explorada ativamente por atacantes desde meados de maio de 2026. A falha permite que invasores estabeleçam conexões VPN não autorizadas em firewalls com GlobalProtect configurado com cookies de autenticação.
Como o ataque funciona
A vulnerabilidade CVE-2026-0257 (CVSS 7.8) explora uma falha no processo de autenticação do GlobalProtect, o portal VPN corporativo do PAN-OS. O problema ocorre quando duas condições estão presentes no firewall: o recurso de cookies de sobreposição de autenticação (authentication override cookies) está habilitado e existe uma configuração específica de certificado digital.
Quando essas condições são atendidas, um atacante consegue bypassar as restrições de segurança e criar uma sessão VPN válida sem credenciais legítimas. A Rapid7, empresa de cibersegurança que identificou a exploração, observou que os ataques resultaram em atribuição de IPs VPN aos invasores, concedendo acesso à rede interna das organizações afetadas.
Segundo a Palo Alto Networks, a exploração requer que o firewall tenha um portal ou gateway GlobalProtect ativo com a configuração vulnerável. A empresa classificou a falha como de severidade média, mas o impacto real pode ser crítico em ambientes corporativos que dependem desse VPN para acesso remoto de funcionários.
Versões afetadas do PAN-OS
A falha afeta múltiplas versões do PAN-OS e também o serviço em nuvem Prisma Access. A Palo Alto Networks liberou correções em seu advisory de 13 de maio de 2026. As organizações que não aplicaram as atualizações ou mitigações estão expostas ao risco de intrusão pela VPN.
| Produto | Versões afetadas | Status |
|---|---|---|
| PAN-OS 11.2 | Anteriores a 11.2.4-h7 | Corrigido |
| PAN-OS 11.1 | Anteriores a 11.1.6-h3 | Corrigido |
| PAN-OS 10.2 | Anteriores a 10.2.12-h3 | Corrigido |
| Prisma Access | Versões com PAN-OS vulnerável | Corrigido |
Cronologia da exploração
A Rapid7 detectou duas ondas distintas de exploração, ambas atribuídas ao mesmo grupo de atacantes. A CISA reagiu adicionando a falha ao catálogo KEV com prazo de mitigação curto:
- 13 de maio de 2026 — Palo Alto Networks publica advisory sobre CVE-2026-0257
- 17 de maio de 2026 — Primeira onda de exploração detectada pela Rapid7 em clientes
- 21 de maio de 2026 — Segunda onda de ataques, com VPN IP atribuído aos atacantes
- 29 de maio de 2026 — Palo Alto confirma exploração ativa; CISA adiciona ao catálogo KEV
- 1 de junho de 2026 — Prazo da CISA para mitigação por agências federais americanas
Proteja seus firewalls
Para ambientes que ainda não foram atualizados, existem duas mitigações temporárias: desabilitar o recurso de authentication override no GlobalProtect ou gerar um novo certificado dedicado exclusivamente para essa funcionalidade.
A correção definitiva exige a atualização do PAN-OS para uma versão corrigida. Em ambientes corporativos, é recomendado revisar logs de acesso VPN em busca de conexões anômalas originadas entre 17 e 29 de maio, período em que a exploração foi detectada.
Verifique se o Cloud Authentication Service (CAS) está habilitado no firewall — a Rapid7 observou que os dispositivos explorados tinham o CAS desabilitado. Monitore atribuições de IPs VPN incomuns e sessões que não correspondam a usuários legítimos.