CVE-2026-0257 (CVSS 7,8) já foi usada em ataques limitados para abrir sessões VPN não autorizadas em portais GlobalProtect; o fabricante publicou indicadores e orienta revisão de logs de gateway.
| Componente | PAN-OS nos componentes de portal e gateway do GlobalProtect, incluindo instâncias expostas na internet que terminam autenticação e estabelecem túneis VPN |
| Vetor | Exploração remota de CVE-2026-0257, falha de bypass de autenticação que permite contornar controles de segurança e iniciar conexões VPN sem credenciais válidas do cliente GlobalProtect |
| Impacto | Acesso não autorizado a portais GlobalProtect e estabelecimento de sessões VPN via eventos gateway-connected; até o momento não há evidência de comportamento pós-acesso ou movimentação lateral nas campanhas observadas |
| Prioridade | Aplicar correções e mitigações oficiais do PAN-OS, revisar logs do GlobalProtect em busca de sessões gateway-connected anômalas e cruzar telemetria com indicadores publicados pelo fabricante |
| Versões | Afeta implementações PAN-OS com GlobalProtect portal/gateway; detalhes de ramos corrigidos devem ser confirmados no advisory oficial do fornecedor |
| Mitigação | Agências civis dos EUA devem tratar CVE-2026-0257 como entrada no catálogo KEV da CISA, com prazo de mitigação até 1º de junho de 2026 para o setor FCEB |
A Palo Alto Networks informou ter detectado exploração ativa de CVE-2026-0257, vulnerabilidade de bypass de autenticação no software PAN-OS que afeta os componentes de portal e gateway do GlobalProtect. A falha, classificada com pontuação CVSS 7,8, permite que um agente remoto contorne mecanismos de autenticação e inicie conexões VPN por meio da infraestrutura GlobalProtect, transformando um defeito de validação de identidade em ponto de entrada direto para a rede protegida pelo firewall.
A atividade maliciosa observada permanece limitada em escala, mas já produz efeito operacional concreto: parte dos dispositivos sondados na internet resultou em sessões VPN efetivamente estabelecidas, registradas como eventos gateway-connected. A primeira atividade documentada remonta a 17 de maio de 2026. O autor da campanha permanece desconhecido, e o fabricante enfatiza que, até o momento da divulgação, não identificou comportamento posterior à conexão nem indícios de movimentação lateral associados a essas sessões.
O caso reforça a criticidade de appliances de perímetro expostos publicamente. GlobalProtect concentra autenticação, política de acesso remoto e terminação de túneis; uma falha que permite bypass nessa camada não exige roubo de credenciais nem engenharia social prévia — basta alcançar a superfície do portal ou gateway vulnerável. Em paralelo à confirmação de exploração, a empresa publicou indicadores de comprometimento ligados à atividade e orientou clientes a caçar, nos logs do GlobalProtect, sessões bem-sucedidas compatíveis com valores fixos de configuração de cliente observados em prova de conceito pública da falha. No final do mês anterior, a Cybersecurity and Infrastructure Security Agency dos Estados Unidos incluiu CVE-2026-0257 no catálogo Known Exploited Vulnerabilities, exigindo mitigação por agências civis executivas federais até 1º de junho de 2026.
CVE-2026-0257 reside na lógica de autenticação dos componentes GlobalProtect integrados ao PAN-OS. Em condições normais, o portal valida identidade e autorização antes de permitir que um cliente GlobalProtect negocie parâmetros de túnel com o gateway; políticas de segurança, grupos de usuários e restrições de rota dependem dessa etapa inicial. A falha quebra essa premissa: um atacante remoto consegue contornar controles de autenticação e prosseguir para a fase de estabelecimento de conexão VPN.
A exploração observada segue um padrão de sondagem em larga escala seguido de conversão parcial. Múltiplos appliances expostos na internet foram alvo de tentativas, porém apenas uma fração reduzida converteu a sondagem em sessão VPN efetiva — ou seja, o ator não obteve sucesso uniforme em todos os alvos, o que pode refletir diferenças de versão, configuração, mitigações parciais já aplicadas ou filtros de rede intermediários. Quando a exploração é bem-sucedida, o resultado técnico imediato é um evento gateway-connected legítimo do ponto de vista do protocolo, mas originado sem credencial válida do usuário final.
O fabricante correlacionou parte da atividade a artefatos de prova de conceito que empregam valores de configuração de cliente codificados de forma fixa. Esses parâmetros aparecem nas tentativas maliciosas e servem como assinatura de caça em ambientes que registram detalhes de handshake e metadados de sessão do GlobalProtect. A ausência, até agora, de ações pós-conexão documentadas não elimina risco futuro: uma sessão VPN não autorizada pode habilitar reconhecimento interno, acesso a segmentos permitidos pela política do túnel ou preparação para etapas subsequentes caso o operador decida expandir a operação.
Do ponto de vista de modelagem de ameaça, o vetor é puramente remoto e não depende de interação do usuário além da exposição do serviço GlobalProtect. Pré-condições incluem portal ou gateway acessível externamente e versão vulnerável do PAN-OS sem correção ou compensação equivalente. O impacto confirmado limita-se ao estabelecimento não autorizado de túneis; extrapolações sobre exfiltração massiva de dados ou comprometimento generalizado do back-end não são sustentadas pelo relato atual e devem ser tratadas como cenários condicionados à política de acesso concedida ao túnel abusivo.
A exposição concentra-se em firewalls Palo Alto Networks que executam PAN-OS com GlobalProtect habilitado, especialmente instâncias cujo portal ou gateway responde a requisições originadas da internet pública. Ambientes que restringem o acesso administrativo mas mantêm o endpoint de VPN exposto permanecem no conjunto de risco.
Organizações que dependem do GlobalProtect como principal mecanismo de acesso remoto para funcionários, parceiros ou administradores devem assumir que cada sessão gateway-connected não autorizada representa um canal potencial para a rede interna conforme as regras de roteamento e split-tunnel configuradas.
- Appliances PAN-OS com componentes GlobalProtect portal e gateway publicamente acessíveis
- Sessões VPN remotas terminadas no gateway corporativo, independentemente de MFA ou integração com IdP quando o bypass ocorre antes da validação esperada
- Infraestrutura de perímetro exposta a varreduras automatizadas que precederam as conexões bem-sucedidas em maio de 2026
- Agências civis executivas federais dos EUA sujeitas ao prazo KEV de 1º de junho de 2026 para CVE-2026-0257
A resposta defensiva imediata passa pela análise forense de logs do GlobalProtect, com foco em eventos gateway-connected bem-sucedidos em janelas temporais compatíveis com a atividade reportada a partir de 17 de maio de 2026. Sessões que surgem sem correspondência em registros de autenticação de usuário, sem ticket válido de MFA ou sem origem coerente com inventário de endpoints corporativos merecem priorização.
Cruzar logs de VPN com telemetria de firewall, autenticação centralizada e inventário de ativos ajuda a distinguir usuários legítimos de conexões abusivas. O fabricante disponibilizou indicadores de comprometimento associados à campanha; equipes de threat intelligence devem ingerir esses IoCs em plataformas SIEM, EDR e ferramentas de correlação, respeitando políticas internas de compartilhamento e sem republicar listas extensas em canais abertos.
Provas de conceito públicas relacionadas à falha utilizam combinações fixas de parâmetros de configuração de cliente GlobalProtect. Operadores devem buscar, nos metadados de sessão e registros de handshake, ocorrências desses valores hard-coded que não correspondam a builds ou perfis de cliente padronizados no ambiente. Varreduras externas que antecederam conexões bem-sucedidas também constituem sinal útil quando correlacionadas com tentativas repetidas contra o mesmo appliance.
- Eventos gateway-connected no GlobalProtect sem trilha de autenticação de usuário coerente na mesma janela temporal
- Metadados de cliente VPN com valores de configuração fixos associados a exploração conhecida da CVE-2026-0257
- Picos de sondagem contra portal ou gateway seguidos de estabelecimento esporádico de túneis a partir de endereços não inventariados
- Correlação entre IoCs publicados pelo fabricante e tráfego observado em appliances de perímetro expostos
A mitigação primária consiste em aplicar correções, hotfixes ou versões de PAN-OS indicadas pelo fabricante para CVE-2026-0257, validando em ambiente controlado antes de promover a produção em clusters de alta disponibilidade. Enquanto a atualização não for concluída, medidas compensatórias devem restringir exposição do portal e gateway — por exemplo, limitar origem IP via política de segurança perimetral, reforçar camadas de acesso administrativo e monitorar ativamente tentativas de conexão anômalas.
Após patching ou contenção de exposição, equipes devem executar caça retroativa desde, no mínimo, 17 de maio de 2026, revisando sessões gateway-connected, revogando credenciais ou certificados associados a túneis suspeitos e avaliando se políticas de split-tunnel permitiram alcance beyond do estritamente necessário. Ausência de movimentação lateral identificada pelo fornecedor não dispensa revisão interna de segmentação e regras east-west.
Organizações alinhadas ao catálogo KEV da CISA devem documentar conformidade com o prazo de 1º de junho de 2026 e manter evidência de versão corrigida ou controle compensatório aceito pela política interna. Indicadores publicados devem ser integrados a playbooks de resposta, com rotação de segredos apenas quando houver evidência de uso pós-conexão — cenário ainda não confirmado nesta campanha, mas que permanece no horizonte de risco operacional.
- Atualizar PAN-OS conforme advisory oficial para CVE-2026-0257 e confirmar versão em todos os nós ativos e standby
- Restringir acesso externo ao portal e gateway GlobalProtect até conclusão da correção ou aplicação de controles compensatórios documentados
- Executar hunting retroativo em logs GlobalProtect desde 17 de maio de 2026, priorizando eventos gateway-connected anômalos
- Ingerir IoCs divulgados pelo fabricante em SIEM e correlacionar com varreduras e tentativas de conexão recentes
- Validar conformidade com exigências KEV da CISA para ambientes FCEB até o prazo de 1º de junho de 2026
0 Comentários