Falha crítica no Palo Alto GlobalProtect está sendo explorada ativamente
Aprofundamento CEVIU
Aprofundamento
A falha CVE-2026-0257 no Palo Alto GlobalProtect não é só mais uma vulnerabilidade de autenticação: ela explora um erro de arquitetura de segurança repetido em infraestruturas críticas, a reutilização indevida de certificados criptográficos entre componentes distintos. Quando o mesmo certificado usado para HTTPS do portal GlobalProtect também serve para assinar cookies de substituição de autenticação, um atacante consegue extrair sua chave pública e forjar credenciais válidas sem precisar quebrar a criptografia. Isso transforma uma configuração comum (e até documentada como prática aceitável em ambientes com restrições operacionais) em vetor de entrada direto para redes internas. O risco se agrava porque o acesso não autenticado já entrega atribuição de IP VPN legítimo, ou seja, o invasor entra como usuário autorizado, não como tráfego anômalo.
Isso coloca a falha em um patamar diferente das outras exploradas recentemente: enquanto a CVE-2026-35616 no FortiClient EMS exige manipulação de configurações via API mal protegida, e a falha no WebLogic Server depende de um fluxo específico de requisições, a CVE-2026-0257 opera em camada de criptografia aplicada, e por isso escapa de muitos WAFs e ferramentas de detecção baseadas em comportamento. A CISA classificou-a como crítica (CVSS 9.1), acima da média observada em brechas similares do setor, como as do UniFi OS (CVSS 9.8, mas exigindo rede local) ou do FortiClient (CVSS 7.2).
O que mudou
Na cobertura anterior sobre a falha no FortiClient EMS (2026-06-01), destacamos que ataques estavam sendo feitos via manipulação de scripts batch via túnel VPN, um cenário de execução limitada e visível. Já na CVE-2026-0257, o ataque ocorre *antes* da conexão ser estabelecida: o invasor forja o cookie de autenticação diretamente no handshake HTTP, sem passar por qualquer módulo de controle de sessão. Isso significa que os logs tradicionais de login falhado não aparecem, e a atividade pode ser registrada apenas como 'conexão bem-sucedida', dificultando a detecção em ambientes sem análise de certificados ou inspeção profunda de cookies. Também houve mudança na postura da Palo Alto: o aviso inicial (13/05) indicava gravidade média (CVSS 4.7); em 29/05, após confirmação de exploração em produção, a empresa elevou formalmente a classificação para alta (CVSS 7.8), seguida pela CISA com CVSS 9.1, sinalizando que a ameaça evoluiu de teórica para operacional em menos de duas semanas.
Por que isso importa
Empresas que adotaram GlobalProtect como camada principal de acesso remoto, especialmente bancos, operadoras e órgãos públicos, têm agora um ponto cego estratégico: o próprio mecanismo de autenticação está comprometido. Corrigir a falha não basta se a arquitetura continuar usando certificados compartilhados entre portal HTTPS e sistema de cookies. A mitigação recomendada (certificado dedicado para cookies) exige revisão de pipelines de CI/CD, rotinas de renovação de certificados e testes de integração, algo que muitas equipes de TI não conseguem fazer em menos de 72 horas. Enquanto isso, o ator de ameaça continua ativo, com padrões de IP consistentes em provedores como Vultr e Dromatics Systems, o que permite bloqueio pontual, mas não elimina o risco de novos vetores. Para arquitetos de nuvem, essa falha reforça que 'zero trust' não começa com políticas, mas com isolamento estrito de chaves criptográficas entre funções.
Linha do tempo
Palo Alto Networks divulga aviso de segurança para CVE-2026-0257 com CVSS 4.7
Primeira onda de exploração ativa detectada pela Rapid7
Segunda onda de exploração confirmada, com padrões de IP e MAC consistentes
Palo Alto eleva CVSS para 7.8; CISA adiciona CVE-2026-0257 ao catálogo KEV
CEVIU News publica alerta sobre exploração ativa e prioridade crítica para correção
Perguntas frequentes
Minha organização usa GlobalProtect com Prisma Access. Estou vulnerável?
Sim, se você usa versões afetadas do Prisma Access (11.2 anteriores à 11.2.7-h13 ou 10.2 anteriores à 10.2.10-h36). A vulnerabilidade atinge tanto o PAN-OS local quanto o serviço em nuvem. Verifique sua versão no console do Prisma Access ou no relatório de atualizações da Palo Alto.
Posso apenas desativar o recurso de substituição de autenticação como solução imediata?
Sim, e é a mitigação mais rápida. Mas isso pode quebrar fluxos de acesso SSO ou MFA integrados ao portal GlobalProtect. Antes de desativar, teste em ambiente não produtivo e valide se usuários finais conseguem acessar aplicações críticas via VPN após a mudança.
A CISA exige correção até 1º de junho. Isso vale para empresas privadas?
Não. A exigência é vinculada a agências federais civis dos EUA. No entanto, a inclusão na lista KEV significa que a falha está sendo explorada em larga escala, e organizações brasileiras com exposição à internet já foram identificadas em ambientes analisados pela Rapid7. A recomendação técnica é aplicar o patch ou mitigação em até 48 horas.
Essa falha afeta meu firewall físico ou apenas o GlobalProtect?
Ela afeta o módulo GlobalProtect rodando no firewall (PAN-OS), não o hardware em si. Firewalls com PAN-OS nas versões listadas estão vulneráveis mesmo que estejam em data centers locais, em nuvem ou como virtual appliance. Plataformas Cloud NGFW e Panorama não são impactadas.
Fontes
- bleepingcomputer.comfonte original
- Categoria
- CEVIU TI
- Publicado
- 01 de junho de 2026
- Editoria
- CEVIU TI
