O que aconteceu
A Palo Alto Networks confirmou que a CVE-2026-0257, uma falha de bypass de autenticacao classificada como CVSS 9.1 (Critico), esta sendo explorada ativamente contra dispositivos PAN-OS que utilizam o portal e gateway GlobalProtect. A vulnerabilidade, catalogada como CWE-287, permite que atacantes nao autenticados forjem cookies de autenticacao e obtenham acesso VPN completo a rede interna da organizacao.
A CISA adicionou a falha ao catalogo de Vulnerabilidades Exploradas Conhecidas (KEV) em 29 de maio, com deadline de correcao para hoje, 01 de junho de 2026.
Como o ataque funciona
A equipe de MDR da Rapid7 documentou duas ondas distintas de exploracao:
- Primeira onda (18/05/2026): ataques originados de infraestrutura hospedada na Vultr, utilizando cookies de autenticacao forjados (authentication override cookies) para acessar gateways GlobalProtect como administrador local.
- Segunda onda (21/05/2026): nova campanha detectada a partir de infraestrutura da Dromatics Systems, seguindo o mesmo vetor de ataque.
Em ambos os casos, os atacantes conseguiram estabelecer conexoes VPN nao autorizadas, obtendo acesso de rede equivalente ao de qualquer usuario remoto autenticado. A Rapid7 observou que, embora movimentacao lateral ainda nao tenha sido confirmada, o simples acesso VPN ja expoe toda a rede interna.
A gravidade levou a propria Palo Alto Networks a elevar a classificacao de severidade de Medium para High apos a confirmacao de exploracao ativa.
Quem esta exposto
A vulnerabilidade afeta dispositivos PAN-OS que operam GlobalProtect com authentication override cookies habilitados e uma configuracao especifica de certificado. Se sua organizacao utiliza Palo Alto como solucao de VPN corporativa, e provavel que o ambiente esteja no perfil de risco.
Essa combinacao e comum em ambientes corporativos brasileiros de medio porte, onde o GlobalProtect serve como porta de entrada para trabalho remoto e conexao entre filiais.
Checklist de acoes imediatas
Dado que o prazo KEV da CISA expira hoje, a recomendacao e agir com urgencia:
- Aplicar o patch do PAN-OS para a release branch do seu ambiente. Os patches estao disponiveis desde o inicio de maio.
- Se o patch nao for possivel agora: desabilite authentication override cookies no GlobalProtect ou aplique a mitigacao baseada em certificado descrita no advisory oficial da Palo Alto.
- Auditar logs do GlobalProtect: procure sessoes VPN autenticadas via override cookies, especialmente associadas a conta de administrador local.
- Verificar origens suspeitas: busque conexoes originadas de ranges IP da Vultr ou infraestrutura Dromatics Systems nos registros do gateway.
- Validar com seu provedor: empresas que terceirizam a gestao de firewall e VPN devem confirmar com o fornecedor que o patch ja foi aplicado e os logs revisados.
O que observar daqui para frente
A CVE-2026-0257 ilustra um padrao que se repete: vulnerabilidades em appliances de borda (firewalls, VPN gateways, load balancers) continuam sendo o vetor preferido de atacantes sofisticados. O motivo e simples. Esses equipamentos ficam expostos na internet, frequentemente rodam com privilegios elevados e nem sempre recebem atualizacoes com a mesma cadencia de servidores internos. Para equipes de infraestrutura e seguranca, a licao e clara: patch de appliances de perimetro precisa ter o mesmo SLA de incidente critico, nao o de manutencao programada.