A **Palo Alto Networks** atualizou seu aviso sobre a **CVE-2026-0257**, uma falha que afeta o portal e gateway GlobalProtect do PAN-OS. Inicialmente classificada como de severidade Média, a vulnerabilidade foi elevada para Alta devido à exploração ativa. ## A Vulnerabilidade: CVE-2026-0257 A vulnerabilidade, rastreada como **CVE-2026-0257**, permite que atacantes contornem restrições de segurança e estabeleçam conexões VPN não autorizadas. De acordo com o aviso da **Palo Alto**, a falha reside no portal e gateway GlobalProtect do software PAN-OS. A avaliação inicial considerou o impacto da falha como severidade Média devido a requisitos de configuração específicos: os dispositivos devem ter cookies de substituição de autenticação habilitados e uma configuração de certificado particular. ## Exploração Ativa e Aumento de Severidade Na sexta-feira, a **Palo Alto Networks** revisou seu aviso, confirmando a exploração ativa da vulnerabilidade em dispositivos não corrigidos. Isso levou a um aumento na classificação de severidade para Alta. "A Palo Alto Networks tomou conhecimento de tentativas limitadas de exploração em dispositivos PAN-OS não corrigidos sem as mitigações aplicadas", afirma o aviso atualizado. ## Observações da Rapid7 Esta atualização está alinhada com avisos anteriores da **Rapid7**, que observaram tentativas de exploração contra vários clientes a partir de 17 de maio de 2026. "A Rapid7 MDR identificou exploração bem-sucedida em vários clientes, no entanto, não observamos nenhuma indicação de movimento lateral bem-sucedido a partir dos dispositivos. A data mais antiga de exploração observada foi 17 de maio de 2026", relatou a **Rapid7**. Além disso, a **Rapid7** observou que "A partir de 29 de maio de 2026, esta vulnerabilidade foi adicionada ao KEV da **CISA**". ## Detalhes do Ataque De acordo com a **Rapid7**, os atacantes estão se autenticando em gateways GlobalProtect usando cookies de substituição de autenticação forjados, visando a conta de administrador local. A exploração foi observada pela primeira vez em 18 de maio a partir de infraestrutura hospedada pela **Vultr**, seguida por uma segunda onda em 21 de maio originada da Dromatics Systems. Embora os atacantes às vezes se conectassem com sucesso a redes internas via VPN usando cookies forjados, a **Rapid7** observou instâncias em que uma sessão VPN completa não pôde ser estabelecida, apesar do appliance aceitar o cookie forjado. ## Análise da Causa Raiz A investigação da **Rapid7** revelou que os dispositivos afetados tinham cookies de substituição de autenticação GlobalProtect habilitados e estavam configurados para permitir a falsificação de cookies de autenticação válidos. A vulnerabilidade decorre do processo de validação do PAN-OS para cookies de substituição de autenticação. O dispositivo VPN GlobalProtect descriptografa esses cookies usando uma chave privada configurada e confia no conteúdo descriptografado sem verificação de assinatura. Se o mesmo certificado for reutilizado tanto para serviços HTTPS quanto para cookies de substituição de autenticação, os atacantes podem obter a chave pública correspondente através da sessão HTTPS. Isso permite que eles criem cookies forjados que o dispositivo aceitará como legítimos. ## Exploit de Prova de Conceito A **Rapid7** desenvolveu um exploit de prova de conceito para demonstrar como um atacante pode recuperar certificados públicos expostos por um portal ou gateway GlobalProtect, gerar um cookie de substituição de autenticação forjado para um usuário arbitrário e autenticar sem credenciais válidas. Este PoC autenticou com sucesso em um gateway GlobalProtect não corrigido. ## Remediação e Mitigação Organizações que utilizam dispositivos VPN GlobalProtect são fortemente aconselhadas a instalar imediatamente as atualizações de segurança mais recentes para corrigir a falha. Estratégias de mitigação alternativas incluem desabilitar o recurso de substituição de autenticação ou usar um certificado distinto para este recurso, garantindo que ele não seja compartilhado com outros serviços no dispositivo. A **CISA** adicionou a falha ao seu catálogo de Vulnerabilidades Exploradas Conhecidas, exigindo que as agências federais a mitiguem até 1º de junho de 2026.  ## A Lacuna de Validação: Pentest Automatizado Responde Uma Pergunta. Você Precisa de Seis. Ferramentas de pentest automatizado entregam valor real, mas foram criadas para responder a uma pergunta: um atacante pode se mover pela rede? Elas não foram criadas para testar se seus controles bloqueiam ameaças, se suas regras de detecção disparam ou se suas configurações de nuvem se sustentam. Este guia cobre as 6 superfícies que você realmente precisa validar. [Baixe Agora](https://hubs.li/Q048zztN0)