Exploração Ativa de Vulnerabilidade de Bypass de Autenticação no PAN-OS da Palo Alto Networks
**Palo Alto Networks** alerta sobre a exploração ativa de uma falha de segurança de gravidade média recentemente divulgada, **CVE-2026-0257**, que afeta o PAN-OS e o Prisma Access. A vulnerabilidade permite que atacantes ignorem a autenticação e estabeleçam conexões VPN não autorizadas, representando um risco significativo para as organizações afetadas.
### CVE-2026-0257: Bypass de Autenticação no PAN-OS
A vulnerabilidade, rastreada como **CVE-2026-0257** (pontuação CVSS: 7.8), envolve um bypass de autenticação que pode ser explorado por atores maliciosos para configurar conexões VPN. De acordo com a **Palo Alto Networks**, o problema afeta firewalls com o portal ou gateway GlobalProtect configurados quando os cookies de substituição de autenticação estão ativados e uma configuração de certificado específica existe.
"Vulnerabilidades de bypass de autenticação no portal e gateway GlobalProtect do software PAN-OS® da Palo Alto Networks permitem que o atacante contorne as restrições de segurança e estabeleça uma conexão VPN não autorizada", declarou a empresa em seu aviso divulgado em 13 de maio de 2026.
### Exploração em Circulação
Em uma atualização em 29 de maio de 2026, a **Palo Alto Networks** reconheceu "tentativas de exploração limitadas em dispositivos PAN-OS não corrigidos sem mitigações aplicadas".
Isso segue um relatório da **Rapid7**, que identificou exploração bem-sucedida em vários clientes, com as primeiras tentativas datando de 17 de maio de 2026 e uma onda subsequente em 21 de maio. A **Rapid7** atribui ambos os conjuntos de exploração ao mesmo ator de ameaça.
A segunda onda de atividade incluiu a atribuição de IP VPN após a autenticação por cookie, concedendo aos atacantes acesso à rede interna em dois casos. Nenhuma atividade de acompanhamento foi observada nos ambientes de clientes onde uma sessão VPN foi estabelecida.
### Avaliação da Rapid7
"Um bypass de autenticação em um appliance VPN corporativo voltado para a borda pode ter um impacto significativo nas organizações afetadas", alertou a **Rapid7**. "Como tal, as organizações que executam appliances afetados são instadas a atualizar para um patch fornecido pelo fornecedor com urgência."
### Estratégias de Mitigação
Como mitigações temporárias, a **Palo Alto Networks** recomenda desativar o recurso de substituição de autenticação ou gerar um novo certificado para uso exclusivo do recurso de substituição de autenticação.
### Exploração do FortiClient EMS
A exploração da **CVE-2026-0257** segue um relatório da **Arctic Wolf** sobre a contínua utilização maliciosa de uma falha de segurança crítica em implantações do FortiClient Endpoint Management Server (EMS) (**CVE-2026-35616**, pontuação CVSS: 9.1). Atores de ameaças estão alavancando essa vulnerabilidade para entregar malware roubador de credenciais conhecido como EKZ Infostealer.