Palo Alto

Uma vulnerabilidade crítica de negação de serviço foi identificada no software PAN-OS da Palo Alto Networks, permitindo que atacantes não autenticados reinicializem remotamente firewalls ao enviar pacotes maliciosos. Essa falha afeta as versões do PAN-OS em firewalls da série PA, da série VM e em implementações do Prisma Access, embora as instalações do Cloud NGFW não sejam impactadas. Os pesquisadores de segurança alertam que tentativas repetidas de reinicialização podem colocar os firewalls em modo de manutenção, desativando suas capacidades de proteção e expondo as organizações a ataques secundários. A Palo Alto Networks atribuiu uma pontuação CVSS de 8.7 a essa vulnerabilidade, classificando-a como de severidade média, mas com urgência moderada. A falha se origina de verificações inadequadas para condições excepcionais e requer que as organizações afetadas atualizem para versões corrigidas do software. A empresa não encontrou evidências de exploração ativa até o momento, mas recomenda que as atualizações sejam priorizadas para restaurar a resiliência dos firewalls e evitar possíveis ataques de negação de serviço.

Um aumento significativo nos ataques aos portais de login do Palo Alto Networks GlobalProtect foi registrado, com mais de 2.200 endereços IP únicos envolvidos em tentativas de acesso em 7 de outubro de 2025. A GreyNoise, empresa de monitoramento de cibersegurança, observou que o número de IPs únicos que realizavam varreduras nos portais subiu de aproximadamente 1.300 em 3 de outubro para mais de 2.200 em apenas quatro dias. Essa atividade sugere uma campanha de ‘credential stuffing’, onde listas extensas de credenciais, possivelmente obtidas de vazamentos anteriores, estão sendo utilizadas. A análise geográfica revelou que 91% dos IPs que realizavam as varreduras estavam localizados nos Estados Unidos, com outros clusters significativos no Reino Unido, Países Baixos, Canadá e Rússia. O aumento repentino de tentativas de login, que coincide com um evento semelhante de varredura em dispositivos Cisco ASA, indica uma possível coordenação entre os atacantes. Para mitigar esses ataques, recomenda-se que as organizações bloqueiem ou monitorem os IPs identificados pela GreyNoise, implementem autenticação multifatorial e revisem os logs de login em busca de combinações incomuns de nome de usuário e senha.

Uma vulnerabilidade crítica foi identificada no User-ID Credential Agent da Palo Alto Networks, afetando versões anteriores à 11.0.3 no Windows. Essa falha permite que senhas de contas de serviço sejam expostas em texto claro, especialmente quando configuradas com permissões elevadas, como as de Server Operator ou Domain Join. Um usuário de domínio não privilegiado pode explorar mecanismos de leitura de arquivos ou despejo de memória para obter essas senhas. O impacto varia conforme o nível de privilégio da conta de serviço: contas minimamente privilegiadas podem resultar em interrupções nas operações do User-ID, enquanto contas com privilégios elevados podem permitir controle total do servidor, incluindo manipulação de domínio e comprometimento da rede. A Palo Alto Networks já lançou um patch para corrigir a vulnerabilidade, e recomenda que administradores atualizem suas versões para 11.0.3 ou superiores. Enquanto isso, é aconselhável que as organizações verifiquem as permissões de logon local concedidas a usuários de domínio nos Controladores de Domínio e adotem práticas recomendadas para a criação de contas de serviço dedicadas e minimamente privilegiadas.