A falha no PAN-OS identificada como CVE-2026-0257 entrou definitivamente no radar das equipes de segurança ao redor do mundo. A Palo Alto Networks confirmou que agentes maliciosos já estão explorando ativamente a vulnerabilidade para obter acesso não autorizado a ambientes corporativos por meio do GlobalProtect VPN, uma das soluções de acesso remoto mais utilizadas em infraestruturas empresariais.
O alerta ganhou ainda mais relevância após a inclusão da vulnerabilidade no catálogo Known Exploited Vulnerabilities (KEV) da CISA, agência de cibersegurança dos Estados Unidos. A medida indica que a exploração deixou de ser apenas teórica e passou a representar uma ameaça concreta para organizações públicas e privadas.
Neste artigo, vamos explicar de forma clara o que é a CVE-2026-0257, como os ataques estão acontecendo, quais sistemas são afetados e quais ações devem ser tomadas imediatamente para reduzir os riscos.
Entendendo a vulnerabilidade CVE-2026-0257 no PAN-OS
A CVE-2026-0257 é uma vulnerabilidade de bypass de autenticação presente nos componentes GlobalProtect Portal e GlobalProtect Gateway do PAN-OS, sistema operacional que equipa os firewalls da Palo Alto Networks. O problema permite que um invasor estabeleça uma conexão VPN sem possuir credenciais válidas.
A falha está relacionada ao mecanismo de cookies de autenticação override, utilizado para evitar que usuários precisem se autenticar repetidamente. Segundo as análises técnicas divulgadas, determinadas configurações permitem que atacantes forjem cookies considerados legítimos pelo sistema, burlando os controles de autenticação.
A Palo Alto classificou inicialmente a vulnerabilidade com CVSS 7.8, considerada de alta severidade. No entanto, diversos especialistas em segurança tratam a ameaça como crítica devido ao potencial impacto sobre ambientes corporativos conectados à internet.
Os produtos afetados incluem múltiplas versões do PAN-OS 10.2, 11.1, 11.2 e 12.1, além de determinadas implementações do Prisma Access. Já soluções como Panorama e Cloud NGFW não foram listadas entre os componentes vulneráveis.
O comportamento dos ataques em cenários reais
A atividade maliciosa relacionada à exploração da vulnerabilidade começou a ser observada em maio de 2026. Pesquisadores de segurança identificaram tentativas bem-sucedidas de exploração em diferentes organizações, demonstrando que a falha rapidamente passou da fase de descoberta para ataques reais.
Embora os invasores tenham conseguido estabelecer conexões VPN não autorizadas, os relatórios divulgados até o momento indicam que não foram observadas campanhas amplas de movimentação lateral ou implantação de malware após a invasão inicial.
Ainda assim, o risco permanece elevado. Uma VPN corporativa comprometida pode servir como porta de entrada para informações sensíveis, sistemas internos e ativos críticos de negócios.
A própria Palo Alto Networks reconheceu a existência de tentativas limitadas de exploração contra dispositivos vulneráveis conectados à internet.
Como identificar o comprometimento na sua infraestrutura
Administradores devem revisar imediatamente os registros do GlobalProtect em busca de indicadores compatíveis com exploração da falha no PAN-OS.
Os pesquisadores identificaram diversos padrões que podem ajudar equipes de segurança a detectar atividades suspeitas relacionadas à CVE-2026-0257.
IPs suspeitos monitorados
As campanhas observadas utilizaram infraestrutura hospedada em diferentes provedores de nuvem para conduzir os ataques.
Entre os ambientes associados às primeiras atividades maliciosas estão servidores vinculados à Vultr e à Dromatics Systems. Como os endereços IP utilizados pelos atacantes podem mudar rapidamente, é fundamental acompanhar constantemente os boletins atualizados da fabricante e das equipes de inteligência de ameaças.
Além do monitoramento dos IPs identificados, recomenda-se analisar conexões VPN incomuns originadas de países ou regiões sem relação com a operação da empresa.
Assinaturas nos logs do GlobalProtect
Uma das formas mais eficazes de detectar possíveis tentativas de exploração é revisar cuidadosamente os registros do GlobalProtect.
Os pesquisadores identificaram alguns padrões recorrentes durante as tentativas de ataque:
- Hostname genérico ou inconsistente
- Identificadores de dispositivo artificiais
- Endereços MAC suspeitos ou inválidos
- Campo de domínio vazio durante o processo de autenticação
- User-Agent associado ao Windows 10 Pro em combinações incomuns
Administradores devem revisar logs históricos desde maio de 2026 para identificar possíveis conexões suspeitas que possam ter passado despercebidas.
Mitigações imediatas para a falha no PAN-OS
A principal recomendação da Palo Alto Networks é aplicar imediatamente as versões corrigidas do sistema operacional.
Entre as versões consideradas seguras estão:
- PAN-OS 12.1.7 ou superior
- PAN-OS 11.2.12 ou superior
- PAN-OS 11.1.15 ou superior
- Versões de correção específicas disponibilizadas para outras ramificações ainda suportadas
Além da atualização do software, especialistas recomendam a adoção das seguintes medidas:
- Revisar as configurações de Authentication Override
- Utilizar certificados dedicados para autenticação
- Auditar sessões VPN ativas e históricas
- Verificar contas administrativas locais
- Monitorar continuamente tentativas de acesso ao GlobalProtect
- Restringir a exposição desnecessária de gateways VPN à internet
- Implementar monitoramento avançado para atividades anômalas
A combinação dessas medidas reduz significativamente as chances de exploração bem-sucedida enquanto o ambiente é atualizado.
Alerta da CISA e a urgência de mitigação
A gravidade da vulnerabilidade no PAN-OS ficou ainda mais evidente após sua inclusão no catálogo Known Exploited Vulnerabilities (KEV) da CISA.
Essa lista reúne vulnerabilidades que possuem evidências concretas de exploração ativa e que representam riscos relevantes para organizações de todos os portes.
Como parte do processo, as agências federais norte-americanas receberam um prazo extremamente curto para corrigir ou mitigar o problema. Esse tipo de determinação costuma ocorrer apenas quando existe um consenso de que a ameaça exige resposta imediata.
Para empresas privadas, a mensagem é igualmente clara: dispositivos vulneráveis expostos à internet devem ser atualizados o quanto antes para evitar possíveis comprometimentos.
A falha no PAN-OS reforça os riscos das VPNs de borda
Nos últimos anos, dispositivos de borda passaram a se tornar um dos principais alvos dos grupos de cibercrime e operações patrocinadas por Estados.
Firewalls, gateways VPN, appliances de segurança e sistemas de acesso remoto costumam ser explorados porque oferecem acesso direto às redes corporativas. Quando uma vulnerabilidade desse tipo é descoberta e explorada, o impacto pode ser significativo.
A falha no PAN-OS demonstra mais uma vez a importância de manter políticas rigorosas de gerenciamento de vulnerabilidades, atualização contínua e monitoramento ativo dos ativos expostos à internet.
Empresas que dependem do GlobalProtect para acesso remoto devem tratar a CVE-2026-0257 como uma prioridade operacional e de segurança.
Conclusão e próximos passos
A CVE-2026-0257 representa uma das vulnerabilidades mais preocupantes recentemente identificadas no ecossistema da Palo Alto Networks. Ao permitir que invasores estabeleçam conexões VPN sem autenticação válida, a falha cria uma oportunidade valiosa para ataques direcionados contra redes corporativas.
A boa notícia é que as correções já estão disponíveis. Organizações que utilizam GlobalProtect devem priorizar imediatamente a atualização para versões seguras do PAN-OS, revisar configurações relacionadas à autenticação e monitorar cuidadosamente seus registros em busca de sinais de comprometimento.
Em um cenário no qual ataques contra dispositivos de borda continuam crescendo, agir rapidamente pode ser a diferença entre uma simples atualização preventiva e um incidente de segurança com consequências graves para toda a organização.