Como o exploit funciona
A vulnerabilidade CVE-2026-0257 no PAN-OS da Palo Alto Networks permite que atacantes bypassarem a autenticação do GlobalProtect e estabelecer conexões VPN não autorizadas. O exploit está ativo desde 17 de maio de 2026 e a falha foi adicionada ao catálogo KEV da CISA, com acesso confirmado a redes corporativas internas.
A falha, classificada com CVSS 7.8, afeta firewalls configurados com o portal ou gateway do GlobalProtect onde os cookies de sobrescrita de autenticação estão habilitados e existe uma configuração específica de certificado. Com essa combinação, o atacante bypassa as restrições de segurança e estabelece uma conexão VPN sem credenciais válidas, obtendo acesso direto à rede interna da organização alvo.
Linha do tempo do ataque
| Data | Evento |
|---|---|
| 13 de maio | Palo Alto Networks publica advisory para CVE-2026-0257 |
| 17 de maio | Primeira onda de exploração detectada pela Rapid7 |
| 21 de maio | Segunda onda — atacantes obtêm IP VPN e acesso à rede interna |
| 29 de maio | CISA adiciona falha ao catálogo KEV com prazo até 1º de junho |
A Rapid7 avaliou que todas as ondas de exploração foram realizadas pelo mesmo ator de ameaças. A empresa classificou o risco como significativo: “Um bypass de autenticação em um appliance VPN voltado para a borda corporativa pode ter impacto expressivo nas organizações afetadas.”
Correção e mitigações
A correção primária é atualizar o PAN-OS para a versão com patch disponível no advisory oficial da Palo Alto Networks. Se a aplicação do patch não for imediata, duas medidas mitigatórias temporárias estão disponíveis: desabilitar o recurso de authentication override ou gerar um novo certificado exclusivo para essa funcionalidade. Organizações que utilizam ambas as plataformas devem priorizar a correção das duas falhas simultaneamente.
A CISA determinou que agências federais dos EUA devem corrigir a vulnerabilidade até 1º de junho. O cenário é agravado por relatos de exploração ativa da CVE-2026-35616 (CVSS 9.1) no FortiClient EMS, usada para distribuir o malware EKZ Infostealer. Para mais detalhes sobre o contexto dessa falha específica, confira nossa análise anterior do CVE-2026-0257. Equipes de segurança devem verificar logs do GlobalProtect em busca de conexões anômalas a partir de 13 de maio e monitorar endpoints internos para movimentação lateral.
O que fazer agora
Verifique imediatamente se seus firewalls Palo Alto possuem a configuração vulnerável e aplicam o patch released. Revise logs de acesso VPN do GlobalProtect para identificar conexões suspeitas estabelecidas após 13 de maio — especialmente atribuições de IP VPN que não correspondam a usuários legítimos. Considere revogar e reemitir certificados associados ao GlobalProtect caso haja indícios de exploração.