Globalprotect

Vulnerabilidade do PAN-OS permite acesso não autorizado a VPNs

A Palo Alto Networks alertou sobre a exploração ativa de uma vulnerabilidade no PAN-OS, identificada como CVE-2026-0257, que possui uma pontuação CVSS de 7.8. Essa falha de autenticação permite que atacantes contornem controles de segurança e estabeleçam conexões VPN não autorizadas através dos portais GlobalProtect. A exploração foi observada em ataques limitados, com atividades iniciais registradas em 17 de maio de 2026. Até o momento, não se identificou comportamento pós-acesso ou movimentação lateral, e apenas uma pequena fração dos dispositivos sondados conseguiu estabelecer sessões VPN. A Palo Alto Networks disponibilizou indicadores de comprometimento (IoCs) e recomenda que os clientes verifiquem os logs do GlobalProtect em busca de eventos de conexão bem-sucedidos que correspondam a configurações específicas de cliente. A CISA dos EUA incluiu essa vulnerabilidade em seu catálogo de Vulnerabilidades Conhecidas Exploitadas, exigindo que agências federais mitigassem a falha até 1º de junho de 2026.

Palo Alto Networks alerta sobre falha crítica no GlobalProtect

A Palo Alto Networks emitiu um alerta sobre a exploração de uma falha de bypass de autenticação no GlobalProtect, identificada como CVE-2026-0257. Essa vulnerabilidade permite que atacantes estabeleçam conexões VPN não autorizadas em dispositivos que não foram atualizados. Inicialmente classificada como de gravidade média, a falha teve sua classificação elevada para alta após a empresa identificar tentativas de exploração ativas em dispositivos não corrigidos. A Rapid7 também relatou que a exploração começou em 17 de maio de 2026, com hackers utilizando cookies de autenticação forjados para acessar contas de administrador local. Embora alguns atacantes tenham conseguido conectar-se via VPN, muitos não conseguiram estabelecer uma sessão VPN completa. A falha decorre da validação inadequada dos cookies de autenticação pelo PAN-OS, que não realiza verificação de assinatura. Organizações que utilizam dispositivos GlobalProtect devem aplicar imediatamente as atualizações de segurança disponíveis e considerar desativar a função de override de autenticação para mitigar o risco.

Vulnerabilidade crítica no GlobalProtect da Palo Alto Networks

A Palo Alto Networks divulgou atualizações de segurança para uma vulnerabilidade de alta severidade, identificada como CVE-2026-0227, que afeta o software PAN-OS utilizado em suas soluções GlobalProtect Gateway e Portal. Com uma pontuação CVSS de 7.7, a falha permite que um atacante não autenticado cause uma condição de negação de serviço (DoS) no firewall, levando-o a entrar em modo de manutenção após tentativas repetidas de exploração. A vulnerabilidade foi descoberta por um pesquisador externo e afeta diversas versões do PAN-OS, incluindo 12.1, 11.2, 11.1, 10.2 e 10.1, além do Prisma Access. A Palo Alto Networks esclareceu que a falha é aplicável apenas a configurações com o GlobalProtect habilitado e que não existem alternativas para mitigar o problema. Embora não haja evidências de exploração ativa, a empresa recomenda que os dispositivos sejam mantidos atualizados, especialmente considerando a atividade de escaneamento em gateways GlobalProtect nos últimos meses.

Aumento de ataques aos portais de login do Palo Alto GlobalProtect

Um aumento significativo nos ataques aos portais de login do Palo Alto Networks GlobalProtect foi registrado, com mais de 2.200 endereços IP únicos envolvidos em tentativas de acesso em 7 de outubro de 2025. A GreyNoise, empresa de monitoramento de cibersegurança, observou que o número de IPs únicos que realizavam varreduras nos portais subiu de aproximadamente 1.300 em 3 de outubro para mais de 2.200 em apenas quatro dias. Essa atividade sugere uma campanha de ‘credential stuffing’, onde listas extensas de credenciais, possivelmente obtidas de vazamentos anteriores, estão sendo utilizadas. A análise geográfica revelou que 91% dos IPs que realizavam as varreduras estavam localizados nos Estados Unidos, com outros clusters significativos no Reino Unido, Países Baixos, Canadá e Rússia. O aumento repentino de tentativas de login, que coincide com um evento semelhante de varredura em dispositivos Cisco ASA, indica uma possível coordenação entre os atacantes. Para mitigar esses ataques, recomenda-se que as organizações bloqueiem ou monitorem os IPs identificados pela GreyNoise, implementem autenticação multifatorial e revisem os logs de login em busca de combinações incomuns de nome de usuário e senha.

Palo Alto Systems em alerta devido a aumento de ataques de varredura

Recentemente, a GreyNoise, uma empresa de pesquisa em segurança cibernética, relatou um aumento de 500% nos IPs realizando varreduras em busca de perfis do Palo Alto Networks GlobalProtect e PAN-OS. Em média, cerca de 200 IPs realizam esse tipo de varredura, mas no dia 3 de outubro, esse número saltou para mais de 1.280. A maioria dos IPs maliciosos se originou dos Estados Unidos, com alvos principalmente nos EUA e no Paquistão. Apesar do aumento nas varreduras, a Palo Alto Networks afirmou que não encontrou evidências de comprometimento em seus sistemas e se mantém confiante em suas defesas, que são suportadas pela plataforma Cortex XSIAM, capaz de bloquear 1,5 milhão de novos ataques diariamente. Especialistas alertam que esse tipo de atividade pode indicar que um ator malicioso está tentando descobrir vulnerabilidades nos portais de login da empresa. A GreyNoise também observou que 7% dos IPs envolvidos nas varreduras são considerados maliciosos, enquanto 91% são classificados como suspeitos. A empresa continua monitorando a situação e assegura que suas infraestruturas permanecem seguras.

Falha no GlobalProtect da Palo Alto Networks Permite Escalação de Privilégios

A Palo Alto Networks revelou uma vulnerabilidade de severidade moderada em seu aplicativo de VPN GlobalProtect, que pode permitir que atacantes escalem privilégios e instalem software malicioso em endpoints alvo. A falha, identificada como CVE-2025-2183 e com uma pontuação CVSS de 4.5, afeta o processo de validação de certificados em aplicações GlobalProtect em sistemas Windows e Linux. A vulnerabilidade decorre de uma validação insuficiente de certificados, permitindo que atacantes se conectem a servidores arbitrários. Isso pode ser explorado por usuários não administrativos locais ou atacantes na mesma sub-rede, que podem instalar certificados raiz maliciosos e, em seguida, implantar software malicioso assinado por esses certificados fraudulentos. A Palo Alto Networks já lançou atualizações de segurança para corrigir a falha e recomenda que as organizações afetadas priorizem a atualização para as versões corrigidas e implementem mudanças de configuração adicionais para proteção total.