VPN do Palo Alto sob ataque
A CISA adicionou a vulnerabilidade CVE-2026-0257 ao seu catálogo de vulnerabilidades conhecidas e exploradas (KEV) em 29 de maio de 2026, após confirmação de exploração ativa contra firewalls Palo Alto Networks PAN-OS. A falha permite que um atacante remoto e não autenticado forge cookies de autenticação e estabeleça conexões VPN não autorizadas pelo GlobalProtect, obtendo acesso direto a redes internas corporativas.
Palo Alto Networks divulgou o CVE-2026-0257 em 13 de maio de 2026. Embora a vulnerabilidade receba um score CVSSv4 considerado médio, a Rapid7 — que detectou exploração ativa em múltiplos clientes de seu serviço MDR — classifica a ameaça como de prioridade crítica. O problema reside na funcionalidade não-padrão de “authentication override”, que emite cookies de sessão a usuários autenticados para evitar logins repetidos.
Como o ataque funciona
A vulnerabilidade é acionada quando o certificado usado para criptografar os cookies de override é o mesmo utilizado pelo serviço HTTPS do portal GlobalProtect. O binário /usr/local/bin/gpsvc não realiza verificação de assinatura durante a descriptografia do cookie. Um atacante que consiga extrair a chave pública do certificado HTTPS exposto pode forjar um cookie válido e bypassar completamente a autenticação.
Em termos práticos, o atacante envia uma requisição POST para /ssl-vpn/login.esp com um cookie forjado nos campos portal-userauthcookie ou portal-prelogonuserauthcookie. Se o certificado estiver compartilhado entre o serviço HTTPS e o authentication override, o firewall aceita o cookie como legítimo e concede acesso VPN.
Ondas de ataque documentadas
A Rapid7 documentou duas ondas distintas de exploração. A primeira foi detectada em 17 de maio de 2026, com requisições de autenticação suspeitas via cookie direcionadas a contas administrativas locais em múltiplos ambientes. O tráfego malicioso partiu de IPs hospedados na provedora Vultr, com o nome de máquina GP-CLIENT e um endereço MAC spoofado.
A segunda onda começou em 21 de maio, originada da provedora Dromatics Systems. Nesta fase, os atacantes usaram o nome de máquina DESKTOP-GP01 e conseguiram estabelecer sessões VPN completas em parte dos ambientes comprometidos, recebendo IPs internos e acesso direto à rede corporativa. O uso consistente do mesmo MAC address spoofado em ambas as ondas indica um único grupo ameaçador por trás dos ataques. Em 8 dos 10 clientes afetados da Rapid7, os atacantes realizaram apenas probes de autenticação sem estabelecer sessão VPN completa.
Como se proteger
- Atualize imediatamente o PAN-OS para versões corrigidas: 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15 ou 10.2.18-h6. Para Prisma Access 11.2.0, atualize para 11.2.7-h13; para 10.2.0, atualize para 10.2.10-h36.
- Desative o authentication override se não for operacionalmente necessário. Acesse Network > GlobalProtect > Portals/Gateways > Agent > Authentication Override.
- Se a funcionalidade for necessária, gere um certificado dedicado exclusivo para cookies de override — nunca compartilhe o certificado com o serviço HTTPS.
- Busque IoCs nos logs de autenticação GlobalProtect: IPs 104.207.144[.]154, 146.19.216[.]119/.120/.125; MAC spoofado aa:bb:cc:dd:ee:ff; nomes de máquina GP-CLIENT e DESKTOP-GP01.
- Configure regras de detecção para monitorar autenticações via cookie em contas de administrador local.