O que é o CVE-2026-0257
Uma vulnerabilidade de bypass de autenticação no GlobalProtect, o serviço de VPN corporativo da Palo Alto Networks, está sendo explorada ativamente na natureza. Tratada inicialmente como severidade média, a falha (CVE-2026-0257) permite que um atacante sem credenciais estabeleça uma conexão VPN não autorizada e acesse a rede interna de uma organização. A Rapid7 classificou a urgência como crítica, e a CISA já incluiu a vulnerabilidade no seu catálogo de falhas exploradas (Known Exploited Vulnerabilities Catalog).
Como funciona o ataque
A vulnerabilidade reside em um recurso chamado authentication override — cookies de autenticação que o GlobalProtect emite para que usuários não precisem se reautenticar toda vez. O problema: quando o certificado usado para criptografar esses cookies é reutilizado (o mesmo certificado do portal HTTPS, por exemplo), o atacante consegue forjar cookies válidos sem precisar da chave privada.
A Rapid7 confirmou a técnica por análise reversa do binário gpsvc no PAN-OS. O processo de decrypt verifica a cookie, extrai nome de usuário, domínio, endereço IP e timestamp, mas não realiza nenhuma verificação de integridade ou assinatura após a decrypt. Qualquer pessoa com a chave pública — que é pública por definição — pode criar cookies falsos que o firewall aceita como legítimos.
Para que a vulnerabilidade esteja presente, três condições precisam ser atendidas simultaneamente: o GlobalProtect precisa estar configurado como portal ou gateway, o recurso de authentication override precisa estar habilitado, e o certificado de override precisa ser compartilhado com outro uso.
O que a Rapid7 observou
Segundo a análise da Rapid7, a primeira onda de exploração foi detectada em 17 de maio de 2026. A segunda onda ocorreu em 21 de maio, originada de endereços IP do provedor Dromatics Systems. Em ambos os casos, os ataques partiram do mesmo ator — identificado pelo endereço MAC consistente.
Em 8 de 10 ambientes afetados, o atacante obteve autenticação via cookie forjado, mas o firewall não atribuiu um endereço IP VPN, bloqueando o acesso à rede interna. Nos dois casos restantes, o atacante conseguiu estabelecer a sessão VPN completa com atribuição de IP. A Rapid7 não observou movimentação lateral após o acesso inicial, mas isso não significa que não possa ocorrer em outros cenários.
Versões afetadas e patches
A falha recebeu score CVSS 4.0 de 7.8, com vetor de ataque via rede sem necessidade de privilégios ou interação do usuário. A classificação CWE (CWE-565) aponta para dependência de cookies sem validação de integridade — um erro de design que permite ao atacante manipular dados de autenticação em trânsito. De acordo com o advisory oficial da Palo Alto Networks, as seguintes versões do PAN-OS são afetadas:
| Branch | Versões vulneráveis | Versão corrigida |
|---|---|---|
| PAN-OS 12.1 | < 12.1.4-h6, < 12.1.7 | 12.1.4-h6 ou 12.1.7+ |
| PAN-OS 11.2 | < 11.2.4-h17, < 11.2.7-h14, < 11.2.10-h7, < 11.2.12 | 11.2.4-h17, 11.2.7-h14, 11.2.10-h7 ou 11.2.12+ |
| PAN-OS 11.1 | Múltiplas versões < 11.1.15 | 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 ou 11.1.15+ |
| PAN-OS 10.2 | Múltiplas versões < 10.2.18-h6 | Consultar advisory para versão específica |
| Prisma Access | < 11.2.7-h13, < 10.2.10-h36 | Atualização automática em andamento |
Cloud NGFW não é afetado. Após a atualização, usuários precisarão se reautenticar uma vez, mesmo com cookie válido — o patch regenera cookies com um método mais seguro.
O que fazer agora
Se a sua organização usa Palo Alto Networks com GlobalProtect, a prioridade é confirmar se o recurso de authentication override está ativo. O caminho na interface: Network → GlobalProtect → Portals → aba Agent → Authentication. Se as opções “Generate cookie for authentication override” ou “Accept cookie for authentication override” estiverem marcadas, o sistema está exposto.
Enquanto o patch não é aplicado, existem duas mitigações válidas segundo a própria Palo Alto Networks:
- Desabilitar o authentication override — a opção mais segura, mas pode impactar a experiência do usuário que precisa reautenticar frequentemente.
- Criar um certificado dedicado — gerar um certificado exclusivo para o authentication override, sem reutilizar o certificado do portal ou gateway. Isso impede que o atacante consiga a chave pública necessária para forjar cookies.
A recomendação da Rapid7 é tratar a falha como crítica, independentemente do score CVSS de 7.8. Um bypass de autenticação em um appliance de VPN voltado para a internet pode ser a porta de entrada para exfiltração de dados, ransomware e movimentação lateral profunda na rede. Mesmo que a exploração observada até agora não tenha mostrado atividade pós-intrusão, o ator por trás dos ataques demonstrou capacidade técnica para refinar sua abordagem entre a primeira e a segunda onda.
Por que VPNs são alvos
Aplicações de VPN corporativa estão entre os alvos mais cobiçados por grupos de ameaças avançadas. A exploração do CVE-2026-0257 ocorre semanas depois de outra campanha que abuse do CVE-2026-35616 no FortiClient EMS para distribuir o malware EKZ Infostealer. O padrão é claro: vulnerabilidades em edge security devices oferecem acesso direto à rede interna sem dependência de phishing ou engenharia social.
Para organizações brasileiras que dependem de infraestrutura Palo Alto — especialmente bancos, empresas de telecomunicações e órgãos governamentais — a janela entre o patch e a exploração pode ser decisiva. A Palo Alto Networks é um dos fornecedores de firewall mais usados no Brasil, e o GlobalProtect é padrão em ambientes corporativos com trabalho remoto. A CISA geralmente impõe prazos de correção para agências federais americanas quando uma vulnerabilidade entra no KEV, e esse tipo de pressão costuma se refletir em requisitos de compliance em outros mercados.
Referências
- The Hacker News — PAN-OS GlobalProtect Authentication Bypass (CVE-2026-0257) Under Active Exploitation
- Palo Alto Networks — Security Advisory CVE-2026-0257
- Rapid7 — Rapid7 Observed Exploitation of PAN-OS GlobalProtect Authentication Bypass Vulnerability
- CISA — Known Exploited Vulnerabilities (KEV) Catalog