Palo Alto Networks diz que falha no PAN-OS GlobalProtect está sendo explorada ativamente
Ataques ativos contra VPNs empresariais
Palo Alto Networks está avisando que invasores estão explorando ativamente uma vulnerabilidade de bypass de autenticação do PAN-OS GlobalProtect que pode permitir que eles estabeleçam conexões VPN não autorizadas em dispositivos corporativos.
A falha, rastreada como CVE-2026-0257, foi corrigida no início deste mês. Inicialmente, a Palo Alto a avaliou como de gravidade Média, dizendo que a exploração exigia que os dispositivos estivessem configurados com cookies de substituição de autenticação habilitados e uma configuração específica de certificado. Na sexta-feira, a empresa revisou seu comunicado, afirmando que havia tomado conhecimento de tentativas limitadas de exploração contra dispositivos PAN-OS não corrigidos e sem mitigação e elevou a classificação para Alta gravidade.
"O portal e o gateway GlobalProtect do software PAN-OS da Palo Alto Networks permitem que o atacante contorne restrições de segurança e estabeleça uma conexão VPN não autorizada", disse a empresa em seu comunicado.
A atualização segue um alerta separado da Rapid7, que disse ter observado exploração bem-sucedida em diversos clientes a partir de 17 de maio. A Rapid7 afirmou não ter visto evidências de movimentação lateral bem-sucedida a partir dos dispositivos afetados, mas observou que a vulnerabilidade foi adicionada ao catálogo CISA Known Exploited Vulnerabilities em 29 de maio de 2026.
De acordo com a Rapid7, os ataques usaram cookies de substituição de autenticação forjados para autenticar em gateways GlobalProtect e visar a conta de administrador local. A empresa disse que inicialmente viu exploração em 18 de maio a partir de infraestrutura hospedada pela Vultr, seguida por uma segunda onda em 21 de maio originada da Dromatics Systems.
Em alguns casos, os invasores conseguiram conectar-se a dispositivos via VPN usando cookies forjados e obter acesso a redes internas. Em outros incidentes, o appliance aceitou o cookie forjado, mas uma sessão VPN completa não pôde ser estabelecida.
A Rapid7 afirmou que os dispositivos afetados tinham cookies de substituição de autenticação GlobalProtect habilitados e estavam configurados de modo que permitia aos atacantes forjar cookies válidos. O problema decorre do processo de validação do PAN-OS: o dispositivo VPN descriptografa o cookie com uma chave privada configurada e confia no conteúdo descriptografado sem realizar verificação de assinatura. Se o mesmo certificado for usado tanto para serviços HTTPS quanto para cookies de substituição de autenticação, um atacante pode obter a chave pública através da sessão HTTPS e usá-la para criar um cookie que o aparelho aceita como legítimo.
Fontes:
Doppler VPN: 6 localizações de servidores, protocolo VLESS, zero rastreamento. Comece grátis.