Falha crítica no PAN-OS da Palo Alto é explorada ativamente para burlar autenticação VPN

A CVE-2026-0257 não é uma falha genérica de autenticação, é um bypass específico do mecanismo de 'authentication override' no GlobalProtect, que depende da reutilização indevida de certificados HTTPS para criptografar cookies. Quando o mesmo certificado serve tanto para o portal público quanto para esse recurso interno, atacantes conseguem extrair a chave pública e forjar cookies válidos com apenas uma requisição HTTP. Isso ignora completamente o fluxo de login tradicional, tornando MFA inútil: o ataque ocorre *após* a autenticação, no estágio de sessão estabelecida. A exploração já foi observada em três ondas distintas desde 17 de maio, com padrões de MAC falsificados repetidos, indicando operação coordenada, e não acidental.

Para equipes de TI, o risco vai além do acesso à rede corporativa. Gateways GlobalProtect expostos publicamente são alvos prioritários para movimento lateral rumo a sistemas OT, especialmente em utilities, onde a WaterISAC já emitiu alerta específico. A mitigação imediata não é só atualizar: desativar 'authentication override' ou gerar um certificado exclusivo para esse recurso resolve o problema sem depender de patch, mas exige revisão de arquitetura de certificados, algo que muitas empresas terceirizam e negligenciam na governança de identidade.

A cobertura anterior de 1º de junho tratava a falha como um alerta emergencial genérico. Agora sabemos que ela foi explorada desde 17 de maio, com confirmação de ataque real por dois atores distintos (Rapid7 e Unit 42), e que sua classificação CVSS foi elevada de 4.7 para crítica após evidência de exploração contínua, não por mudança técnica, mas por impacto operacional comprovado. Também há novidade prática: a CISA exigiu correção obrigatória em agências federais em 1º de junho, e a WaterISAC ampliou o alerta para infraestruturas críticas em 4 de junho, sinalizando escalada de prioridade regulatória.

Essa vulnerabilidade expõe uma falha estrutural em como muitas empresas gerenciam certificados em ambientes híbridos: usar o mesmo certificado para múltiplos serviços (HTTPS público + funcionalidades internas de VPN) é comum, mas viola princípios básicos de isolamento de domínios de confiança. Para arquitetos de nuvem e equipes de segurança, isso significa que políticas de certificação devem ser tratadas como parte da governança de identidade, não como tarefa operacional de infraestrutura. O fato de MFA não ajudar reforça que controle de acesso remoto precisa ser redesenhado com base em zero trust, não apenas adicionado como camada extra sobre arquiteturas legadas.