Contexto da falha

A vulnerabilidade CVE-2026-0257 recebeu pontuacao CVSS 7.8 e afeta o PAN-OS e o Prisma Access em configuracoes especificas do GlobalProtect. O problema esta no portal e no gateway GlobalProtect, componentes usados para acesso remoto por VPN. Em termos simples, um invasor pode contornar a autenticacao e tentar estabelecer uma conexao VPN sem passar pelo fluxo normal de login.

A Palo Alto Networks publicou o aviso em 13 de maio de 2026 e atualizou a comunicacao em 29 de maio, informando ter conhecimento de tentativas limitadas de exploracao contra dispositivos PAN-OS sem correcao e sem mitigacoes.

Como o ataque funciona

A falha nao afeta qualquer instalacao de forma indiscriminada. Segundo o comunicado, o risco aparece quando o firewall tem portal ou gateway GlobalProtect configurado, usa cookies de substituicao de autenticacao e possui uma configuracao especifica de certificado.

Na pratica, isso pode permitir que o atacante use o desvio de autenticacao para obter uma conexao VPN indevida. A Rapid7 relatou exploracoes bem-sucedidas em varios clientes, com primeiras atividades em 17 de maio de 2026 e uma segunda onda em 21 de maio. Na segunda onda, em dois casos houve atribuicao de IP de VPN apos a autenticacao por cookie, dando ao invasor acesso a rede interna. Nao foi observado, nesses ambientes, movimento posterior depois da sessao VPN estabelecida.

Como identificar risco

Equipes de TI devem priorizar a verificacao de ambientes que usam GlobalProtect exposto para acesso remoto. Pontos de atencao:

• Firewalls PAN-OS com portal ou gateway GlobalProtect ativo.
• Uso de cookies de substituicao de autenticacao.
• Certificado configurado de forma compativel com o cenario descrito no alerta.
• Dispositivos ainda sem patch do fornecedor.
• Registros de conexao VPN inesperada, especialmente perto de 17 e 21 de maio de 2026.

Um exemplo pratico: se surgir uma sessao VPN com IP atribuido, mas sem o historico esperado de login do usuario, isso deve ser tratado como evento suspeito.

O que fazer agora

A recomendacao principal e aplicar a atualizacao fornecida pela Palo Alto Networks com urgencia. Como mitigacao temporaria, o fornecedor indica duas alternativas: desativar o recurso de substituicao de autenticacao ou gerar um novo certificado para uso exclusivo nesse recurso.

Tambem vale revisar logs recentes de VPN, confirmar se houve conexoes incomuns e validar se qualquer sessao suspeita acessou sistemas internos. Mesmo quando nao ha sinal de atividade posterior, uma conexao VPN indevida ja representa risco relevante para operacao, dados e continuidade do negocio.

Checklist pratico

1. Identifique todos os firewalls PAN-OS e ambientes Prisma Access com GlobalProtect habilitado.
2. Confirme se cookies de substituicao de autenticacao estao ativos e revise a configuracao de certificados.
3. Aplique o patch do fornecedor ou, temporariamente, desative o recurso afetado ou use novo certificado exclusivo.
4. Analise logs de VPN, principalmente eventos proximos a 17 e 21 de maio de 2026.
5. Investigue qualquer conexao VPN sem autenticacao esperada ou atribuicao de IP incomum.

Perguntas frequentes

Todo ambiente com PAN-OS esta vulneravel?

Nao. O alerta descreve risco em firewalls com GlobalProtect portal ou gateway configurado, cookies de substituicao de autenticacao habilitados e uma configuracao especifica de certificado.

A falha ja esta sendo explorada?

Sim. A Palo Alto Networks informou tentativas limitadas contra dispositivos sem correcao e sem mitigacoes. A Rapid7 tambem relatou exploracoes bem-sucedidas em varios clientes.

Qual e a acao mais importante?

Aplicar a atualizacao do fornecedor. Se isso nao for possivel imediatamente, use as mitigacoes indicadas e monitore conexoes VPN suspeitas.

Conheca: Pentest, Threat Intelligence com IA, Conscientizacao de Seguranca, SGSI, Plano Diretor de Seguranca, Auditoria Interna, Governanca de MFA e Cofre TOTP, ISO 42001 - IA, Diagnostico Gratuito de Seguranca. lcsec.io

Fontes:
https://thehackernews.com/2026/05/pan-os-globalprotect-authentication.html