Como o bypass de autenticação funciona
Hackers exploram ativamente a CVE-2026-0257, bypass de autenticação no GlobalProtect VPN da Palo Alto Networks que permite invasores remotos estabelecer conexões VPN não autorizadas em redes corporativas. A Rapid7 confirmou exploração em múltiplos clientes desde 17 de maio de 2026, e a CISA adicionou a falha ao catálogo KEV com prazo de remediação para 1º de junho.
Vetor técnico do ataque
A raiz do problema está no recurso de authentication override cookies do PAN-OS. Este recurso emite cookies a usuários autenticados para evitar login repetido. A falha crítica: o servidor descriptografa o cookie e confia no conteúdo sem verificar assinatura. Esta não é a primeira vez que a autenticação VPN do PAN-OS é burlada por atacantes.
Quando o mesmo certificado é usado tanto para o serviço HTTPS quanto para criptografar os cookies de autenticação, o atacante pode: conectar-se ao portal HTTPS para obter a chave pública; forjar um cookie de autenticação arbitrário com a chave pública; e submetê-lo ao gateway — o servidor descriptografa e aceita sem validação. A função main_DecryptAppAuthCookie no serviço GlobalProtect simplesmente decodifica o cookie em base64, descriptografa com a chave privada e extrai os campos (usuário, domínio, host) sem nenhuma verificação de integridade.
Onda de ataques detectada
A Rapid7 identificou duas ondas de exploração com infraestrutura hospedada em provedores legítimos. Ambas as ondas apresentaram o mesmo endereço MAC spoofado, indicando um mesmo ator de ameaças por trás dos ataques.
| Data | Evento | Infraestrutura |
|---|---|---|
| 13 de maio | Advisory publicada pela Palo Alto | — |
| 17 de maio | 1ª onda de exploração detectada | Vultr (104.207.144.154) |
| 21 de maio | 2ª onda de exploração | Dromatics Systems |
| 29 de maio | CISA adiciona ao catálogo KEV | — |
| 1º de junho | Prazo de remediação para agências federais | — |
Em 8 de cada 10 clientes afetados, os cookies forjados foram aceitos mas a sessão VPN completa não foi estabelecida. Até o momento, não há evidência de movimentação lateral a partir dos dispositivos comprometidos.
Condições e remediação
A vulnerabilidade requer duas condições específicas: o recurso de authentication override habilitado no portal ou gateway GlobalProtect, e um certificado compartilhado entre o serviço HTTPS e os cookies de autenticação. Se a configuração não atender ambos os requisitos, o dispositivo não é vulnerável. Outras falhas na VPN da Palo Alto já demonstraram que dispositivos de perímetro são alvos prioritários.
A Palo Alto Networks publicou correções para todas as versões suportadas do PAN-OS. Como alternativas imediatas: desabilitar o recurso de authentication override ou gerar um certificado dedicado exclusivo para os cookies, separado do certificado HTTPS. A Rapid7 liberou indicadores de comprometimento e script de detecção no GitHub.