CVE-2026-0257: Vulnerabilidade do Palo Alto Networks PAN-OS Foi Explorada Apenas 4 Dias Após Divulgação
Bypass de autenticação no GlobalProtect (CVSS 7.8) foi explorada in-the-wild a partir de 17 de maio, quatro dias após o patch. CISA inclui CVE no catálogo KEV e Rapid7 publica IoCs e PoC para defensores.
Atacantes começaram a explorar a vulnerabilidade CVE-2026-0257 do Palo Alto Networks PAN-OS apenas quatro dias após sua divulgação pública, segundo investigação da Rapid7. A falha, classificada como alta severidade (CVSS 7.8), permite bypass de autenticação no portal e gateway do GlobalProtect, possibilitando estabelecer conexões VPN não autorizadas em appliances vulneráveis. A CISA já incluiu o CVE em seu catálogo KEV, exigindo correção até 1º de junho por agências federais norte-americanas.
O que aconteceu
Em 13 de maio, a Palo Alto Networks publicou um aviso de segurança e liberou patches para o CVE-2026-0257, uma falha de bypass de autenticação no PAN-OS que afeta firewalls com o portal ou gateway do GlobalProtect habilitado em determinadas configurações. À época, a empresa não tinha indícios de exploração ativa.
O cenário mudou rapidamente. Na sexta-feira, a fabricante atualizou seu boletim para confirmar exploração in-the-wild. O NIST elevou a classificação para crítica e a CISA, agência norte-americana de cibersegurança, adicionou o CVE ao seu catálogo de vulnerabilidades exploradas (KEV), determinando que órgãos federais aplicassem o patch até 1º de junho.
O fornecedor não detalhou publicamente o que foi observado nas tentativas, limitando-se a dizer que houve “limited exploit attempts” contra dispositivos PAN-OS sem patch e sem mitigações aplicadas. Mas a Rapid7 publicou uma análise detalhada que muda o quadro: a empresa de segurança detectou os ataques desde 17 de maio — ou seja, quatro dias após a divulgação inicial.
Detalhes da exploração
Segundo a Rapid7, as primeiras tentativas envolveram autenticação suspeita via cookie contra a conta local de administrador, vindo de endereços alocados ao provedor de hospedagem Vultr. O mesmo ator repetiu o ataque a partir do dia 21 de maio, agora a partir de IPs do provedor Dromatics Systems, em uma segunda onda mais sofisticada. Nessa segunda fase, os pesquisadores observaram não só a autenticação por cookie, mas a atribuição de IP de VPN logo na sequência, dando ao atacante acesso direto à rede interna da vítima.
“Durante a investigação inicial, a Rapid7 observou autenticação suspeita por cookie na conta de administrador local em múltiplos ambientes de clientes, originando-se do mesmo provedor de hospedagem, Vultr.” — Rapid7
Os pesquisadores notaram um detalhe relevante: em 8 das 10 explorações bem-sucedidas, o cookie forjado foi aceito pelo dispositivo, mas a sessão VPN completa não chegou a ser estabelecida. A Rapid7 ainda não conseguiu confirmar por que apenas um subconjunto dos casos resultou em atribuição efetiva de IP de VPN — uma incógnita que pode indicar variações de configuração nos alvos ou uma cadeia de exploração ainda em refinamento pelo atacante.
Quem é afetado
- Firewalls Palo Alto Networks com PAN-OS 12.1, 11.2, 11.1 e 10.2 antes do patch
- Implantações de Prisma Access nas versões 11.2.0 e 10.2.0 anteriores à correção
- Organizações que expõem o portal ou gateway do GlobalProtect publicamente
- Configurações específicas em que recursos avançados do GlobalProtect estão habilitados
- Agências federais norte-americanas (com prazo regulatório expirado em 1º de junho)
Análise
O caso CVE-2026-0257 é mais um capítulo de uma tendência recorrente: appliances de borda — firewalls, VPNs, balanceadores — viraram alvo prioritário para acesso inicial em intrusões avançadas. As janelas entre divulgação e exploração massiva continuam encolhendo. Em 2022, falavam-se em semanas; em 2023, dias; agora, com CVE-2026-0257, falamos em apenas quatro dias entre o patch e a primeira tentativa observada na natureza. Esse intervalo é menor que o ciclo médio de aplicação de patches em ambientes corporativos típicos, o que significa, na prática, que defensores estão estruturalmente atrás dos atacantes.
Há também o padrão do uso de hosting providers como Vultr e Dromatics Systems para escalonar o ataque. Esses provedores oferecem IPs baratos, descartáveis e com baixa fricção de cadastro, ideais para operações automatizadas em larga escala. Bloquear esses ASNs inteiros em perímetros sensíveis é uma decisão difícil — muitos clientes legítimos passam por eles —, mas a presença recorrente desses provedores em campanhas de exploração de edge devices em 2025 e 2026 sugere que a calibração de bloqueios precisa ser revisada. A Mandiant, a Volexity e a Censys têm publicado séries de relatórios mostrando como bursts de exploração em CVEs de produtos como Ivanti, Citrix, Fortinet e agora Palo Alto seguem o mesmo modus operandi: divulgação, engenharia reversa rápida do patch, automação contra superfície exposta na internet, sucesso para quem não atualizou em menos de uma semana.
Recomendações práticas
- Aplicar imediatamente os patches do PAN-OS 12.1, 11.2, 11.1 e 10.2; para Prisma Access, atualizar para 11.2.0 ou 10.2.0 corrigidos
- Executar o script PoC publicado pela Rapid7 para identificar dispositivos vulneráveis na sua organização
- Aplicar os IoCs divulgados pela Rapid7 em SIEM, NDR e EDR para caçar comprometimentos anteriores ao patch
- Auditar logs do GlobalProtect em busca de autenticações por cookie originadas em ASNs da Vultr (AS20473) e Dromatics Systems
- Revogar sessões ativas e cookies de autenticação no portal/gateway após a aplicação do patch
- Reduzir a exposição do GlobalProtect: restringir acesso por geolocalização, ASN ou via segmentação por client certificates onde possível
- Reforçar autenticação multifator no GlobalProtect para mitigar bypasses baseados apenas em cookie
- Estabelecer uma política interna de aplicação de patches em equipamentos de borda em até 48 horas para CVEs críticos
Fonte: SecurityWeek
