A Palo Alto Networks confirmou a exploração ativa de uma vulnerabilidade crítica em seu software PAN-OS, especificamente nos componentes do GlobalProtect, que permite bypass de autenticação. A falha, identificada como CVE-2026-0257, foi adicionada ao catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da CISA, evidenciando a urgência da situação para organizações que utilizam essa infraestrutura de acesso remoto.
O que é a vulnerabilidade
O CVE-2026-0257 é uma falha de bypass de autenticação que afeta os componentes de portal e gateway do PAN-OS. A severidade da falha é classificada com pontuação CVSS de 7,8, indicando um risco alto. A vulnerabilidade permite que atacantes remotos não autenticados contornem os controles de segurança e iniciem conexões VPN não autorizadas sem a necessidade de credenciais válidas. Isso representa uma brecha significativa na camada de perímetro de segurança, permitindo acesso direto à rede interna da organização.
Evidências de exploração em tempo real
Equipes de pesquisa da Palo Alto Networks, incluindo a Unit 42, identificaram um ator de ameaça não identificado realizando varreduras ativas em dispositivos habilitados para GlobalProtect. Embora a maioria das tentativas de conexão tenha falhado, uma pequena porcentage estabeleceu sessões VPN reais, resultando em eventos de conexão de gateway. Até o momento, não foram confirmados comportamentos pós-acesso, movimento lateral ou exfiltração de dados, mas a janela de oportunidade para o atacante permanece aberta.
Indicadores de comprometimento (IOCs)
Os caçadores de ameaças devem buscar conexões de login bem-sucedidas nos logs do GlobalProtect a partir dos seguintes endereços IP, especialmente para atividade anterior ao lançamento público do PoC em 29 de maio de 2026:
- 23.128.228[.]6
- 104.207.144[.]154
- 146.19.216[.]119
- 146.19.216[.]120
- 146.19.216[.]125
- 179.43.172[.]213
- 185.195.232[.]139
- 198.12.106[.]60
- 202.144.192[.]47
Além dos IPs, existem indicadores baseados em host, como endereços MAC suspeitos (ex.: aa:bb:cc:dd:ee:ff) e nomes de host (ex.: WINDOWS-LAPTOP-001, DESKTOP-GP01). Também foram identificados indicadores de configuração de cliente hard-coded no código PoC, como a versão do sistema operacional Microsoft Windows 10 Pro 64-bit e domínio de usuário vazio.
Impacto operacional e riscos
A exploração desta vulnerabilidade pode resultar em acesso não autorizado à rede corporativa, comprometendo a confidencialidade, integridade e disponibilidade dos dados. Para CISOs e equipes de segurança, o risco é imediato, pois a falha permite acesso sem credenciais, o que significa que senhas fortes ou autenticação multifator podem ser contornadas se o exploit for bem-sucedido. A exposição de servidores críticos e dados sensíveis é uma consequência direta da falha não mitigada.
Mitigação imediata para CISOs
As organizações devem revisar imediatamente o advisory de segurança oficial da Palo Alto Networks, aplicar workarounds disponíveis ou atualizar para uma versão corrigida do PAN-OS. A CISA recomenda a aplicação de patches prioritários. Além disso, é crucial monitorar os logs de gateway do GlobalProtect em busca de conexões de IPs maliciosos listados acima. A ativação de protocolos de resposta a incidentes para qualquer evento de conexão de gateway vinculado aos indicadores listados é mandatória.
Linha do tempo do incidente
A vulnerabilidade foi descoberta e divulgada recentemente, com a CISA adicionando-a ao catálogo KEV em 29 de maio de 2026. A Palo Alto Networks emitiu alertas de exploração ativa em 15 de junho de 2026. A Rapid7 também publicou uma análise técnica da atividade de exploração observada em tempo real, corroborando os dados da Palo Alto.
Perguntas frequentes
Qual a prioridade de correção? Crítica. A exploração ativa e a adição ao catálogo KEV da CISA indicam que os atacantes estão ativamente buscando alvos.
É necessário reiniciar os dispositivos? Depende da versão e do patch aplicado. Consulte o advisory oficial da Palo Alto Networks para instruções específicas de atualização.
Como verificar se fui afetado? Verifique se sua versão do PAN-OS é vulnerável e monitore os logs de conexão do GlobalProtect para atividades suspeitas.