Falha em VPNs Palo Alto permite invasão corporativa

Vulnerabilidade bypassa autenticação

A Palo Alto Networks confirmou que a vulnerabilidade CVE-2026-0257, que bypassa a autenticação do GlobalProtect, está sendo explorada ativamente por atacantes desde 17 de maio de 2026. A falha permite que invasores estabeleçam conexões VPN não autorizadas em firewalls corporativos com uma configuração específica ativada.

Identificada em 13 de maio e classificada com CVSS 7.8, a vulnerabilidade afeta firewalls PAN-OS com portal ou gateway GlobalProtect configurado quando cookies de sobrescrita de autenticação (authentication override cookies) estão habilitados e um certificado específico está em uso. Em 29 de maio, a Palo Alto atualizou o advisory para confirmar tentativas de exploração limitadas em dispositivos sem patch.

Rapid7 detecta ondas de ataque

A Rapid7, através do seu serviço MDR, identificou exploração bem-sucedida em diversos clientes. A primeira onda ocorreu em 17 de maio, originada do provedor de hospedagem Vultr. Uma segunda onda, em 21 de maio, partiu do provedor Dromatics Systems. Em ambos os casos, os atacantes utilizaram cookies forjados para autenticar sessões VPN como administradores locais.

Na segunda onda, a Rapid7 observou que o atacante obteve atribuição de IP VPN em ao menos dois casos, ganhando acesso à rede interna. Apesar disso, não houve indicação de movimentação lateral nos ambientes comprometidos. A empresa de segurança acredita que ambas as ondas partem do mesmo grupo, baseada no endereço MAC consistente nas conexões.

Como o ataque funciona

O mecanismo de exploração abusa do recurso de authentication override, que permite ao GlobalProtect emitir cookies para usuários autenticados — funcionando como tokens de portador (bearer tokens). Os atacantes conseguem forjar esses cookies quando o certificado usado para criptografá-los difere do certificado HTTPS do portal.

A vulnerabilidade foi adicionada ao catálogo KEV (Known Exploited Vulnerabilities) da CISA. A Rapid7 recomenda que organizações tratem a falha como crítica, apesar da pontuação média do CVSS.

Como se proteger

A correção definitiva é aplicar o patch disponibilizado pela Palo Alto Networks. Como mitigação temporária, a recomendação é desabilitar o recurso de authentication override ou gerar um novo certificado dedicado exclusivamente a essa funcionalidade. Equipes de segurança devem verificar logs do GlobalProtect em busca de autenticações via cookie suspeitas, especialmente originadas de provedores de hospedagem como Vultr e Dromatics.

• Aplicar patch da Palo Alto Networks para PAN-OS
• Desabilitar authentication override cookies temporariamente
• Gerar certificado dedicado exclusivo para authentication override
• Monitorar logs GlobalProtect para autenticações cookie suspeitas
• Verificar conexões VPN originadas de IPs de provedores de hospedagem

Referências

• Palo Alto Networks — CVE-2026-0257 Advisory
• Rapid7 — ETR: Observed Exploitation of CVE-2026-0257
• The Hacker News — PAN-OS GlobalProtect Under Active Exploitation
• NVD — CVE-2026-0257