This post is also available in: Português
A vulnerabilidade CVE-2026-0257, identificada no software PAN-OS da Palo Alto Networks, está sendo tratada como uma das falhas mais preocupantes envolvendo acesso remoto corporativo em 2026. O problema afeta o portal e o gateway do GlobalProtect e permite que invasores contornem mecanismos de autenticação para estabelecer conexões VPN não autorizadas.
A gravidade da ameaça levou a vulnerabilidade a ser incluída no catálogo de Vulnerabilidades Conhecidas e Exploradas (Known Exploited Vulnerabilities – KEV) da CISA, indicando que já existem evidências concretas de exploração ativa em ambientes reais. Além disso, a falha recebeu pontuação CVSS 9.1, classificação considerada crítica, reforçando a urgência da aplicação das correções disponibilizadas pela fabricante.
O que é a Palo Alto Networks?
A Palo Alto Networks é uma das principais empresas globais de segurança cibernética, conhecida por suas soluções de firewall de próxima geração, proteção de ambientes em nuvem, segurança de redes corporativas e acesso remoto seguro.
Entre seus produtos mais utilizados está o PAN-OS, sistema operacional que equipa os firewalls da fabricante. O software oferece diversos recursos de segurança, incluindo o GlobalProtect, solução de acesso remoto amplamente adotada por empresas para permitir conexões seguras entre usuários e redes corporativas.
Por estar diretamente exposto à internet e atuar como porta de entrada para ambientes internos, qualquer vulnerabilidade que afete o GlobalProtect representa um risco significativo para organizações de todos os portes.
O que é a CVE-2026-0257?
A CVE-2026-0257 é uma vulnerabilidade de bypass de autenticação que afeta o portal e o gateway do GlobalProtect no PAN-OS.
Segundo a Palo Alto Networks, a falha permite que um invasor remoto ignore determinadas restrições de segurança e estabeleça uma conexão VPN sem passar pelos mecanismos normais de autenticação. Como resultado, um atacante pode obter acesso indevido à rede corporativa protegida pela solução.
O problema não afeta todas as implementações do GlobalProtect. A exploração depende da presença de uma configuração específica envolvendo cookies de substituição de autenticação (authentication override cookies) e certificados utilizados pelo ambiente.
A fabricante informou que os produtos Panorama e Cloud NGFW não são impactados pela vulnerabilidade.
Entendendo o mecanismo explorado
A origem da vulnerabilidade está relacionada à forma como determinados cookies de autenticação são processados e validados.
O recurso de authentication override foi criado para permitir que usuários previamente autenticados possam se reconectar sem precisar realizar uma nova autenticação completa. Em determinados cenários de configuração, entretanto, esses cookies podem ser manipulados por um invasor para criar sessões VPN aparentemente legítimas.
Análises técnicas indicam que o problema está associado à utilização de certificados específicos na geração e validação desses cookies. Quando determinadas configurações são combinadas, um atacante pode explorar a lógica de autenticação para estabelecer conexões não autorizadas ao ambiente corporativo.
O cenário é particularmente preocupante porque a exploração ocorre antes da autenticação tradicional do usuário, tornando ineficazes controles adicionais como MFA, senhas fortes ou integrações com provedores de identidade quando a vulnerabilidade está presente.
Classificação CVSS da vulnerabilidade
A CVE-2026-0257 possui pontuação CVSS de 9.1, sendo classificada como crítica. A avaliação considera fatores que aumentam significativamente o risco de exploração:
- A vulnerabilidade pode ser explorada remotamente através da rede.
- Não são necessárias credenciais válidas para iniciar o ataque.
- Não há necessidade de interação do usuário.
- A complexidade da exploração é considerada baixa.
- O comprometimento pode resultar em acesso não autorizado a recursos internos protegidos pela VPN.
Essas características fazem com que a falha represente um vetor de acesso inicial extremamente atrativo para agentes maliciosos, especialmente em ambientes corporativos expostos à internet.
CWE associada: CWE-565
A vulnerabilidade está relacionada à CWE-565 – Reliance on Cookies without Validation and Integrity Checking.
Essa categoria descreve falhas em que aplicações ou serviços confiam em cookies sem verificar adequadamente sua autenticidade ou integridade.
Quando mecanismos de validação são insuficientes, um invasor pode modificar ou forjar informações contidas nesses cookies para obter privilégios indevidos ou contornar controles de segurança.
No caso da CVE-2026-0257, a exploração está diretamente ligada à confiança depositada em cookies de autenticação utilizados pelo GlobalProtect, permitindo a criação de sessões VPN não autorizadas em determinadas configurações.
Vulnerabilidade já está sendo explorada
Poucos dias após a divulgação pública da falha, pesquisadores de segurança observaram atividades maliciosas explorando a CVE-2026-0257 em ambientes reais.
Relatórios apontam que invasores vêm utilizando a vulnerabilidade para estabelecer conexões VPN indevidas em dispositivos vulneráveis expostos à internet. A exploração teria sido observada desde meados de maio de 2026, demonstrando uma rápida adoção da técnica por agentes de ameaça.
A inclusão da vulnerabilidade no catálogo KEV da CISA reforça ainda mais a criticidade do cenário, uma vez que esse catálogo reúne falhas para as quais existem evidências concretas de exploração ativa e risco relevante para organizações públicas e privadas.
Produtos afetados
A vulnerabilidade afeta implementações específicas do PAN-OS e do Prisma Access que utilizam o GlobalProtect.
Segundo a Palo Alto Networks, estão vulneráveis versões do PAN-OS 10.2, 11.1, 11.2 e 12.1 anteriores às correções disponibilizadas pela fabricante. Também existem versões afetadas do Prisma Access.
O risco está presente quando o ambiente possui o GlobalProtect Portal ou Gateway configurado com authentication override cookies habilitados e determinadas configurações de certificados associadas ao recurso.
Possíveis impactos para as organizações
O principal impacto da CVE-2026-0257 é a obtenção de acesso remoto não autorizado a redes corporativas.
Na prática, um invasor pode utilizar a vulnerabilidade para criar uma conexão VPN aparentemente legítima e acessar recursos internos protegidos pelo GlobalProtect. Dependendo da segmentação da rede e dos privilégios disponíveis, esse acesso pode servir como ponto de partida para movimentação lateral, coleta de informações sensíveis e comprometimento de sistemas corporativos.
Por se tratar de uma falha localizada em um componente de acesso remoto exposto à internet, a vulnerabilidade também reduz significativamente a barreira de entrada para atacantes, eliminando a necessidade de roubo prévio de credenciais ou comprometimento de usuários.
Além disso, conexões VPN fraudulentas podem dificultar a identificação de atividades maliciosas, especialmente em ambientes que não realizam monitoramento detalhado de sessões e eventos de autenticação.
Como mitigar a CVE-2026-0257
A principal recomendação é aplicar imediatamente as atualizações de segurança disponibilizadas pela Palo Alto Networks para as versões afetadas do PAN-OS e do Prisma Access.
As organizações também devem revisar suas configurações do GlobalProtect para identificar o uso de authentication override cookies e verificar se o ambiente se enquadra nas condições necessárias para exploração da falha.
Como medida adicional, equipes de segurança devem monitorar cuidadosamente os registros de acesso VPN em busca de conexões incomuns, autenticações suspeitas e sessões originadas de localidades ou dispositivos inesperados. Esse acompanhamento pode auxiliar na identificação de possíveis tentativas de exploração já em andamento.
Diante da confirmação de exploração ativa e da elevada pontuação CVSS, a correção da CVE-2026-0257 deve ser tratada como prioridade pelas organizações que utilizam o GlobalProtect como solução de acesso remoto.
This post is also available in: Português
