Palo Alto confirma exploração ativa de falha crítica na GlobalProtect: autenticação pode ser contornada via cookie manipulado

A falha CVE-2026-0257 não é um simples bug de validação, é uma falha estrutural de confiança em criptografia simétrica mal aplicada. Quando o mesmo certificado HTTPS é reutilizado para cifrar cookies de autenticação override, o firewall perde a capacidade de distinguir um cookie legítimo de um forjado: a assinatura não é verificada após a descriptografia, e o sistema aceita o conteúdo como válido. Isso transforma o GlobalProtect em um ponto de entrada sem controle de identidade, especialmente crítico em arquiteturas que usam VPN como gateway único para acesso remoto, API gateways ou integrações com sistemas legados.

O risco operacional vai além da exposição de dados. Em ambientes com políticas de zero trust mal implementadas, onde a VPN é usada como 'proxy de confiança' para acessar workloads no cloud ou data centers, essa falha permite que atacantes contornem completamente os controles de segmentação de rede. A ausência de movimentação lateral até agora não é tranquilizadora: é sinal de que os invasores ainda estão na fase de reconhecimento silencioso, testando limites de alcance antes de acionar payloads mais agressivos.

Na cobertura do CEVIU de 1º de junho, a exploração era descrita como 'suspeita' e 'isolada'. Hoje, há evidência forense consolidada: duas ondas distintas de ataques (18 e 21 de maio), com origem em provedores diferentes mas com MAC spoofado idêntico (aa:bb:cc:dd:ee:ff), indicando um mesmo ator. A CISA já impôs prazo obrigatório de correção para agências federais (até 1º de junho), o que não constava no alerta inicial. Também houve revisão técnica decisiva: o CVSS foi atualizado de 4.7 para 9.1 (CVSS 3.1), refletindo que a falha não depende de interação do usuário nem de privilégios prévios, só da configuração errada e da exposição do portal.

Para equipes de TI corporativa, isso não é só um patch de segurança: é um teste de maturidade em governança de infraestrutura. A reutilização de certificados entre serviços HTTPS e mecanismos de autenticação é uma prática comum em ambientes com alta rotatividade de pessoal e pouca padronização de DevSecOps. A falha expõe lacunas em três pilares: gestão de segredos (certificados), design de arquitetura de acesso remoto (VPN como perímetro frágil) e monitoramento proativo (logs de login sem correlação com contexto de dispositivo ou geolocalização). Ignorar esse caso pode acionar auditorias de compliance como LGPD e ISO 27001, especialmente se houver vazamento de dados por conta dessa brecha.