CVE-2026-0257: falha em VPN da Palo Alto é explorada

Vulnerabilidade crítica afeta VPN GlobalProtect

A Palo Alto Networks confirmou que a vulnerabilidade CVE-2026-0257, que permite bypass de autenticação no GlobalProtect VPN do PAN-OS, está sendo explorada ativamente por atacantes desde 17 de maio de 2026. A falha permite que invasores estabeleçam conexões VPN não autorizadas em dispositivos corporativos sem necessidade de credenciais válidas.

A vulnerabilidade afeta firewalls com o portal ou gateway GlobalProtect configurado quando os cookies de sobrescrita de autenticação estão habilitados e existe uma configuração específica de certificado. O problema foi divulgado oficialmente em 13 de maio e recebeu atualização crítica em 29 de maio, quando a empresa confirmou tentativas de exploração contra dispositivos não corrigidos. O CVSS da falha é 7.8.

Como funciona o ataque

A equipe de pesquisa da Rapid7 identificou a mecânica do ataque em detalhes. O PAN-OS valida cookies de sobrescrita de autenticação decriptografando-os com uma chave privada configurada e confiando no conteúdo decriptografado sem realizar verificação de assinatura.

Quando o mesmo certificado é reutilizado para serviços HTTPS e para cookies de autenticação, atacantes conseguem obter a chave pública pela sessão HTTPS e usá-la para criar cookies forjados que o dispositivo aceita como legítimos. A Rapid7 desenvolveu um proof-of-concept que demonstra o ataque completo em 3 etapas:

1. Recuperar certificados públicos expostos pelo portal ou gateway GlobalProtect
2. Gerar um cookie de autenticação forjado para um usuário arbitrário usando a chave pública obtida
3. Autenticar no gateway sem credenciais válidas e obter acesso VPN

Cronologia da exploração ativa

• 13 de maio de 2026 — Palo Alto divulga advisory com severidade Média
• 17 de maio de 2026 — Primeira onda de exploração detectada pela Rapid7, originada em infraestrutura Vultr
• 21 de maio de 2026 — Segunda onda detectada, originada em Dromatics Systems; em dois casos, atacantes obtiveram IP VPN com acesso à rede interna
• 29 de maio de 2026 — Palo Alto atualiza advisory para severidade Alta e confirma exploração ativa; CISA adiciona CVE-2026-0257 ao Known Exploited Vulnerabilities Catalog

Segundo a Rapid7, ambas as ondas de ataque são atribuídas ao mesmo threat actor. Em muitos incidentes, embora o dispositivo tenha aceitado o cookie forjado, os atacantes não conseguiram estabelecer sessão VPN completa. Porém, em pelo menos dois casos, houve atribuição de IP VPN e acesso à rede interna.

Proteja sua rede agora

A recomendação prioritária é aplicar imediatamente os patches fornecidos pela Palo Alto Networks. A Rapid7 alertou que organizações com dispositivos afetados devem atualizar com urgência máxima. Para ambientes onde o patch ainda não pode ser aplicado, existem duas mitigações temporárias:

• Desabilitar completamente o recurso de authentication override cookies no GlobalProtect
• Gerar um certificado dedicado e exclusivo para authentication override, separado do certificado usado em serviços HTTPS

Equipes de segurança devem verificar logs de acesso GlobalProtect buscando autenticações incomuns desde 17 de maio, especialmente conexões originadas de IPs associados aos provedores Vultr e Dromatics Systems. A presença de atribuição de IP VPN sem sessão legítima correspondente é um indicador crítico de comprometimento.

Fontes e referências

• Palo Alto Networks — Advisory CVE-2026-0257
• BleepingComputer — Palo Alto GlobalProtect VPN auth bypass flaw exploited
• The Hacker News — PAN-OS GlobalProtect Authentication Bypass Under Active Exploitation
• CVE Record — CVE-2026-0257