Palo Alto Networks

Um novo grupo de ameaças cibernéticas, identificado como CL-UNK-1068, tem atacado organizações de alto valor na Ásia, incluindo setores de aviação, energia, governo e tecnologia. A Palo Alto Networks atribui a atividade a um ator de ameaças chinês, com foco em espionagem cibernética. Os ataques utilizam um conjunto diversificado de ferramentas, incluindo malware personalizado e utilitários de código aberto, visando ambientes Windows e Linux. Técnicas como o uso de shells web e a coleta de dados sensíveis, como senhas e arquivos de configuração, foram observadas. Os atacantes também utilizam métodos inovadores para exfiltrar dados, como a codificação Base64 de arquivos, evitando o upload direto. A análise sugere que, apesar do foco em roubo de credenciais e dados sensíveis, não se pode descartar intenções criminosas. A operação é considerada de médio a alto risco, dada a natureza crítica dos setores atacados e a possibilidade de impactos significativos em conformidade com a LGPD.

A Palo Alto Networks divulgou atualizações de segurança para uma vulnerabilidade de alta severidade, identificada como CVE-2026-0227, que afeta o software PAN-OS utilizado em suas soluções GlobalProtect Gateway e Portal. Com uma pontuação CVSS de 7.7, a falha permite que um atacante não autenticado cause uma condição de negação de serviço (DoS) no firewall, levando-o a entrar em modo de manutenção após tentativas repetidas de exploração. A vulnerabilidade foi descoberta por um pesquisador externo e afeta diversas versões do PAN-OS, incluindo 12.1, 11.2, 11.1, 10.2 e 10.1, além do Prisma Access. A Palo Alto Networks esclareceu que a falha é aplicável apenas a configurações com o GlobalProtect habilitado e que não existem alternativas para mitigar o problema. Embora não haja evidências de exploração ativa, a empresa recomenda que os dispositivos sejam mantidos atualizados, especialmente considerando a atividade de escaneamento em gateways GlobalProtect nos últimos meses.

A Palo Alto Networks alertou que o avanço da computação quântica pode tornar obsoletas as atuais normas de criptografia e dispositivos de segurança, como firewalls, em um futuro próximo. O CEO da empresa, Nikesh Arora, prevê que nações hostis poderão ter acesso a computadores quânticos armados até 2029, o que exigirá que organizações substituam seus dispositivos que dependem de criptografia para garantir a proteção de dados sensíveis. Além disso, a empresa destacou as vulnerabilidades de navegadores corporativos, especialmente com a integração de inteligência artificial, que pode aumentar a exposição a ataques. A Palo Alto está se preparando para oferecer uma gama de produtos resistentes à computação quântica e está em processo de aquisição da CyberArk, além de integrar a Chronosphere. Arora enfatizou a necessidade de inspeção e monitoramento mais rigorosos dos fluxos de dados, à medida que a computação quântica e a IA aumentam o volume de tráfego. As organizações devem manter softwares antivírus atualizados e implementar medidas de proteção contra roubo de identidade, enquanto se preparam para um futuro onde tecnologias emergentes exigem medidas de segurança proativas.

Pesquisadores da Palo Alto Networks identificaram um novo kit de phishing chamado IUAM ClickFix Generator, que automatiza a criação de páginas de phishing enganosas. Este kit, ativo desde julho de 2025, permite que até mesmo atacantes com pouca habilidade criem iscas convincentes que induzem as vítimas a executar comandos maliciosos. O IUAM ClickFix Generator simula desafios de verificação de navegador, comuns em provedores de segurança em nuvem, e inclui uma função de injeção de clipboard que copia comandos maliciosos para a área de transferência das vítimas. Os atacantes podem personalizar as páginas de phishing para se parecerem com desafios legítimos, aumentando a eficácia do ataque.

No cenário digital atual, as empresas enfrentam ameaças cibernéticas em constante evolução, exigindo soluções de inteligência em ameaças que vão além da simples coleta de dados. O artigo destaca as dez melhores empresas de inteligência em ameaças de ponta a ponta para 2025, que oferecem ferramentas avançadas, automação e inteligência em tempo real para proteger ativos organizacionais. Entre as empresas mencionadas estão Intel 471, CrowdStrike e Palo Alto Networks, cada uma com suas características únicas, como monitoramento do mercado negro, detecção de ameaças em tempo real e integração com fluxos de trabalho de segurança. A crescente sofisticação dos crimes cibernéticos, incluindo ataques gerados por IA e extorsões de ransomware, torna essencial que as organizações invistam em plataformas automatizadas que forneçam insights acionáveis. A escolha do provedor certo é crucial para fortalecer a postura de cibersegurança das empresas, especialmente em um ambiente híbrido e baseado em nuvem. O artigo fornece uma tabela comparativa com especificações, recursos e razões para a escolha de cada fornecedor, ajudando líderes de TI e CISOs a selecionar a melhor opção para suas necessidades.

Recentemente, a GreyNoise, uma empresa de pesquisa em segurança cibernética, relatou um aumento de 500% nos IPs realizando varreduras em busca de perfis do Palo Alto Networks GlobalProtect e PAN-OS. Em média, cerca de 200 IPs realizam esse tipo de varredura, mas no dia 3 de outubro, esse número saltou para mais de 1.280. A maioria dos IPs maliciosos se originou dos Estados Unidos, com alvos principalmente nos EUA e no Paquistão. Apesar do aumento nas varreduras, a Palo Alto Networks afirmou que não encontrou evidências de comprometimento em seus sistemas e se mantém confiante em suas defesas, que são suportadas pela plataforma Cortex XSIAM, capaz de bloquear 1,5 milhão de novos ataques diariamente. Especialistas alertam que esse tipo de atividade pode indicar que um ator malicioso está tentando descobrir vulnerabilidades nos portais de login da empresa. A GreyNoise também observou que 7% dos IPs envolvidos nas varreduras são considerados maliciosos, enquanto 91% são classificados como suspeitos. A empresa continua monitorando a situação e assegura que suas infraestruturas permanecem seguras.

A empresa de inteligência em ameaças GreyNoise relatou um aumento significativo nas atividades de varredura direcionadas aos portais de login da Palo Alto Networks, com um crescimento de quase 500% no número de endereços IP envolvidos em apenas um dia, em 3 de outubro de 2025. Este aumento representa a maior atividade registrada nos últimos três meses, com cerca de 1.300 endereços IP únicos participando da varredura, sendo 93% classificados como suspeitos e 7% como maliciosos. A maioria dos IPs está geolocalizada nos EUA, com clusters menores no Reino Unido, Países Baixos, Canadá e Rússia. GreyNoise observou que essa atividade de varredura apresenta características semelhantes a um aumento recente de varreduras em dispositivos Cisco ASA, sugerindo uma possível interconexão entre as ameaças. Em abril de 2025, a empresa já havia alertado sobre atividades de varredura suspeitas direcionadas a gateways GlobalProtect da Palo Alto. O relatório de GreyNoise também indica que picos em atividades de varredura maliciosa frequentemente precedem a divulgação de novas vulnerabilidades (CVE) relacionadas. Recentemente, a Cisco divulgou duas vulnerabilidades zero-day em seus dispositivos ASA, que foram exploradas em ataques reais. A situação exige atenção das empresas que utilizam essas tecnologias, especialmente no Brasil, onde a Palo Alto e a Cisco têm presença significativa.

A Palo Alto Networks, através da sua unidade de resposta a incidentes, Unit 42, confirmou um ataque à cadeia de suprimentos que resultou na exposição de dados de clientes por meio da integração Drift da Salesloft com o Salesforce. O ataque foi identificado após o uso não autorizado de tokens de API, levando a equipe de segurança a revogar credenciais de fornecedores e isolar a aplicação comprometida. Embora centenas de organizações tenham sido afetadas, a resposta rápida da Palo Alto garantiu a resiliência operacional e a ausência de impacto em seus produtos principais.

A Palo Alto Networks revelou uma vulnerabilidade de severidade moderada em seu aplicativo de VPN GlobalProtect, que pode permitir que atacantes escalem privilégios e instalem software malicioso em endpoints alvo. A falha, identificada como CVE-2025-2183 e com uma pontuação CVSS de 4.5, afeta o processo de validação de certificados em aplicações GlobalProtect em sistemas Windows e Linux. A vulnerabilidade decorre de uma validação insuficiente de certificados, permitindo que atacantes se conectem a servidores arbitrários. Isso pode ser explorado por usuários não administrativos locais ou atacantes na mesma sub-rede, que podem instalar certificados raiz maliciosos e, em seguida, implantar software malicioso assinado por esses certificados fraudulentos. A Palo Alto Networks já lançou atualizações de segurança para corrigir a falha e recomenda que as organizações afetadas priorizem a atualização para as versões corrigidas e implementem mudanças de configuração adicionais para proteção total.