Cve-2026-0257

Vulnerabilidade do PAN-OS permite acesso não autorizado a VPNs

A Palo Alto Networks alertou sobre a exploração ativa de uma vulnerabilidade no PAN-OS, identificada como CVE-2026-0257, que possui uma pontuação CVSS de 7.8. Essa falha de autenticação permite que atacantes contornem controles de segurança e estabeleçam conexões VPN não autorizadas através dos portais GlobalProtect. A exploração foi observada em ataques limitados, com atividades iniciais registradas em 17 de maio de 2026. Até o momento, não se identificou comportamento pós-acesso ou movimentação lateral, e apenas uma pequena fração dos dispositivos sondados conseguiu estabelecer sessões VPN. A Palo Alto Networks disponibilizou indicadores de comprometimento (IoCs) e recomenda que os clientes verifiquem os logs do GlobalProtect em busca de eventos de conexão bem-sucedidos que correspondam a configurações específicas de cliente. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, exigindo que agências federais mitigassem a falha até 1º de junho de 2026.

Palo Alto Networks alerta sobre falha crítica no GlobalProtect

A Palo Alto Networks emitiu um alerta sobre a exploração de uma falha de bypass de autenticação no GlobalProtect, identificada como CVE-2026-0257. Essa vulnerabilidade permite que atacantes estabeleçam conexões VPN não autorizadas em dispositivos que não foram atualizados. Inicialmente classificada como de gravidade média, a falha teve sua classificação elevada para alta após a empresa identificar tentativas de exploração ativas em dispositivos não corrigidos. A Rapid7 também relatou que a exploração começou em 17 de maio de 2026, com hackers utilizando cookies de autenticação forjados para acessar contas de administrador local. Embora alguns atacantes tenham conseguido conectar-se via VPN, muitos não conseguiram estabelecer uma sessão VPN completa. A falha decorre da validação inadequada dos cookies de autenticação pelo PAN-OS, que não realiza verificação de assinatura. Organizações que utilizam dispositivos GlobalProtect devem aplicar imediatamente as atualizações de segurança disponíveis e considerar desativar a função de override de autenticação para mitigar o risco.