A falha no Palo Alto GlobalProtect identificada como CVE-2026-0257 entrou no radar das equipes de segurança de todo o mundo após a confirmação de ataques reais explorando a vulnerabilidade. O problema afeta implementações específicas do PAN-OS e permite que invasores estabeleçam conexões VPN sem fornecer credenciais válidas, contornando mecanismos de autenticação que deveriam proteger o acesso remoto corporativo.
O alerta ganhou ainda mais relevância após pesquisadores da Rapid7 identificarem campanhas de exploração em ambientes reais e confirmarem tecnicamente a viabilidade do ataque. A situação levou a CISA a incluir a vulnerabilidade em seu catálogo de vulnerabilidades conhecidas e exploradas, elevando a urgência para aplicação das correções disponibilizadas pela fabricante.
Neste artigo, você entenderá como a vulnerabilidade funciona, por que ela representa um risco significativo para redes corporativas e quais medidas devem ser adotadas imediatamente para reduzir a exposição.
Entendendo a falha CVE-2026-0257 no GlobalProtect
A CVE-2026-0257 é uma vulnerabilidade de bypass de autenticação presente nos componentes GlobalProtect Portal e GlobalProtect Gateway do PAN-OS. Em determinadas configurações, um atacante remoto consegue estabelecer uma conexão VPN não autorizada sem precisar conhecer senhas, tokens ou outros fatores de autenticação legítimos.
O problema está relacionado ao modo como o sistema trata os chamados cookies de substituição de autenticação (authentication override cookies). Esses cookies existem para melhorar a experiência dos usuários, evitando que eles precisem realizar autenticações repetidas durante determinados fluxos de acesso.
A falha ocorre porque o equipamento pode aceitar determinados cookies descriptografados sem realizar verificações adequadas de integridade e autenticidade. Na prática, isso cria uma oportunidade para que um invasor apresente um cookie falsificado e seja reconhecido como um usuário legítimo.
Trata-se de um cenário particularmente perigoso porque a vulnerabilidade afeta um dos principais mecanismos de proteção de redes corporativas: a autenticação de acesso remoto. Quando esse controle falha, a porta de entrada para a infraestrutura da organização pode ficar exposta a acessos indevidos.
O truque dos cookies falsificados
O cenário mais perigoso envolve ambientes que reutilizam o mesmo certificado tanto para o serviço HTTPS quanto para os mecanismos associados aos cookies de autenticação.
Segundo as análises técnicas divulgadas pelos pesquisadores, essa reutilização de certificados pode permitir que um invasor obtenha informações suficientes para construir cookies fraudulentos que aparentam ser válidos para o equipamento vulnerável. Quando o gateway recebe esse cookie forjado, ele pode conceder acesso sem exigir credenciais legítimas.
Em outras palavras, o atacante não está quebrando uma senha nem contornando um sistema de autenticação multifator. Ele está explorando uma falha lógica na forma como a confiança é atribuída aos cookies de autenticação.
Para empresas que utilizam o GlobalProtect como principal porta de entrada para recursos internos, o impacto potencial é significativo. Uma VPN comprometida pode servir como ponto inicial para movimentação lateral, roubo de dados, comprometimento de servidores e acesso a sistemas críticos da organização.
A prova de conceito da Rapid7
A gravidade da vulnerabilidade no GlobalProtect deixou de ser apenas teórica quando pesquisadores da Rapid7 conseguiram validar uma prova de conceito funcional.
Após analisar incidentes observados em clientes, os especialistas reproduziram o comportamento da falha e confirmaram que era possível estabelecer conexões utilizando cookies forjados, sem a necessidade de credenciais válidas. A validação técnica reforçou que os eventos detectados não eram falsos positivos, mas sim exploração legítima da vulnerabilidade.
Essa confirmação transformou a CVE-2026-0257 em uma prioridade operacional para equipes de resposta a incidentes, administradores de sistemas e profissionais responsáveis pela segurança de infraestruturas de acesso remoto.
Ataques em andamento e o alerta da CISA
Os dados coletados pela Rapid7 MDR mostram que a exploração começou a ser observada poucos dias após a divulgação pública da vulnerabilidade.
Os primeiros ataques identificados ocorreram em maio de 2026, com atividade originada de infraestrutura hospedada na Vultr. Dias depois, uma segunda onda de exploração foi detectada utilizando infraestrutura da Dromatics Systems. A análise dos artefatos observados levou os pesquisadores a concluir que ambas as campanhas provavelmente estavam associadas ao mesmo agente de ameaça.
Em alguns casos, os invasores conseguiram obter atribuição de endereço VPN interno após a autenticação baseada em cookies falsificados. Isso demonstra que a exploração não se limita a tentativas de acesso, mas pode resultar efetivamente na entrada do atacante dentro da rede corporativa.
A situação chamou a atenção da CISA, que adicionou a vulnerabilidade ao catálogo de Known Exploited Vulnerabilities (KEV). A inclusão nesse catálogo representa um forte indicativo de que organizações públicas e privadas devem tratar a correção da falha como prioridade máxima.
A agência também estabeleceu um prazo de mitigação para organizações federais, reforçando a gravidade da situação e o risco associado à permanência de sistemas vulneráveis expostos à internet.
Mesmo que a classificação técnica da vulnerabilidade não seja a mais alta possível em algumas métricas, especialistas alertam que falhas presentes na borda da rede e capazes de conceder acesso VPN sem autenticação devem ser consideradas críticas do ponto de vista operacional.
Como proteger seus sistemas e mitigar o problema
A recomendação principal é clara: aplicar imediatamente as atualizações disponibilizadas pela Palo Alto Networks para as versões afetadas do PAN-OS.
As versões corrigidas eliminam a vulnerabilidade e representam a medida mais eficaz para impedir a exploração da CVE-2026-0257. Organizações que ainda não iniciaram o processo de atualização devem tratar essa atividade como prioridade.
Além da atualização, empresas que não conseguem aplicar o patch imediatamente podem adotar medidas temporárias para reduzir o risco.
Entre as recomendações mais importantes estão:
- Desativar o recurso de authentication override, quando operacionalmente possível.
- Utilizar certificados separados para o serviço HTTPS e para os mecanismos de autenticação relacionados aos cookies.
- Revisar todas as configurações do GlobalProtect Portal e GlobalProtect Gateway.
- Monitorar logs em busca de autenticações baseadas em cookies com comportamento incomum.
- Investigar conexões VPN inesperadas ou provenientes de endereços IP desconhecidos.
- Revisar registros de acesso recentes para identificar possíveis sinais de comprometimento.
- Implementar monitoramento reforçado para serviços expostos à internet.
Também é recomendável verificar se existem contas recém-criadas, alterações inesperadas em grupos de usuários ou movimentações suspeitas dentro da rede corporativa. Embora a vulnerabilidade esteja relacionada ao acesso inicial, um invasor que obtenha sucesso pode tentar expandir privilégios e comprometer outros ativos internos.
Falha no Palo Alto GlobalProtect exige ação imediata
A falha no Palo Alto GlobalProtect demonstra como uma vulnerabilidade aparentemente específica pode se transformar rapidamente em uma ameaça de grande impacto quando afeta serviços utilizados como porta de entrada para redes corporativas.
Com a confirmação de exploração ativa, a validação técnica realizada por pesquisadores de segurança e o alerta emitido pela CISA, não há espaço para adiar medidas de proteção. Organizações que utilizam o GlobalProtect devem verificar imediatamente suas versões do PAN-OS, aplicar as correções disponíveis e revisar seus registros de acesso em busca de atividades suspeitas.
Para administradores de sistemas, equipes de infraestrutura e profissionais de segurança da informação, este é um daqueles casos em que agir rapidamente pode evitar um incidente de grandes proporções. Compartilhe este alerta com sua equipe e garanta que os sistemas vulneráveis sejam corrigidos o quanto antes.