[ Início ]

Publicada em 13 de Maio de 2026, a vulnerabilidade CVE-2026-0257 afeta os componentes Portal e Gateway do GlobalProtect, solução de acesso remoto da Palo Alto Networks integrada ao PAN-OS. A falha permite que um agente de ameaça contorne mecanismos de autenticação e estabeleça conexões VPN não autorizadas em ambientes vulneráveis.

Embora a pontuação CVSS atribuída à vulnerabilidade tenha sido classificada inicialmente como média, pesquisadores da Rapid7 e profissionais da comunidade de segurança defenderam seu tratamento como crítica [1] devido ao potencial de acesso: uma vez conectado à VPN corporativa, o invasor passa a operar a partir de uma posição privilegiada dentro da rede, reduzindo a efetividade de diversos controles perimetrais. A Palo Alto Networks confirmou que Panorama e Cloud NGFW não são afetados pelo problema.

No final de Maio, a vulnerabilidade foi adicionada ao catálogo Known Exploited Vulnerabilities (KEV) da CISA após a confirmação de tentativas de exploração em ambientes reais. Junto disso, no dia 30 de Maio, seu score EPSS também teve um salto de 0.07% para 41.51%. Hoje, 03 de Junho, a pontuação aparece em 36.34% [2].

Cadeia de Ataque

A exploração da CVE-2026-0257 depende de uma combinação específica de configurações presentes no GlobalProtect. O cenário vulnerável ocorre quando os recursos de ‘Authentication Override Cookies’ estão habilitados e o certificado utilizado para protegê-los também é reutilizado por outros serviços expostos pelo equipamento.

Nessas condições, um atacante remoto não autenticado pode obter informações suficientes para forjar cookies de autenticação válidos. Como o processo de validação não realiza verificações adequadas de integridade, os cookies fabricados podem ser aceitos pelo portal ou gateway como legítimos. Assim que aceito o cookie forjado, o GlobalProtect interpreta que o usuário já foi autenticado anteriormente e permite o estabelecimento da sessão VPN sem a necessidade de credenciais válidas, MFA ou interação do usuário.

A partir desse ponto, o invasor obtém acesso à rede interna da organização através de um canal oficialmente autorizado pelo firewall. Dependendo das permissões atribuídas ao perfil VPN comprometido, torna-se possível realizar movimentação lateral, reconhecimento interno, acesso a sistemas corporativos e utilização da infraestrutura para etapas subsequentes do ataque.

Relatos publicados após a divulgação da vulnerabilidade indicam que grupos maliciosos passaram a explorar o problema poucos dias após a disponibilização das correções, reforçando o interesse dos atacantes em falhas que afetam soluções de acesso remoto expostas à Internet.

Mitigações

Dentre as recomendações divulgadas pela Palo Alto Networks, destacam-se:

• Atualizar o PAN-OS para versões corrigidas disponibilizadas pelo fabricante;
• Revisar configurações de ‘Authentication Override Cookies’, desabilitando geração e aceite de cookies, em portais e gateways GlobalProtect;
• Evitar reutilização de certificados entre serviços distintos;
• Monitorar logs de autenticação VPN em busca de conexões incomuns, dispositivos desconhecidos ou sessões de origens inesperadas;
• Inspecionar eventos relacionados a autenticação baseada em cookies e atribuição de endereços VPN;
• Restringir a exposição de serviços GlobalProtect à Internet quando viável;
• Implementar monitoramento contínuo para identificar acessos remotos anômalos e atividades pós-comprometimento.

Fontes

[1] Rapid7.Observed Exploitation of PAN-OS GlobalProtect Authentication Bypass.
[2] CVEDetails.com. CVE-2026-0257.
[3] CISA Known Exploited Vulnerabilities Catalog.
[4] Palo Alto Networks Security Advisories, CVE-2026-0257.
[5] NVD – NIST, CVE-2026-0257 Detail.