**Palo Alto Networks** alertou os clientes hoje que uma vulnerabilidade crítica de gravidade não corrigida no Portal de Autenticação User-ID do PAN-OS está sendo explorada em ataques. ### Entendendo a Vulnerabilidade O Portal de Autenticação User-ID, também conhecido como Portal Captivo, é um recurso de segurança do PAN-OS que autentica usuários cujas identidades não podem ser mapeadas automaticamente pelo firewall. Este recurso é crucial para manter a segurança da rede, garantindo que apenas usuários autorizados obtenham acesso. Rastreado como **CVE-2026-0300**, este bug zero-day decorre de uma fraqueza de estouro de buffer. Pacotes especificamente elaborados podem ser aproveitados por atacantes não autenticados para executar código arbitrário com privilégios de root em firewalls PA-Series e VM-Series expostos à Internet. "Exploração limitada foi observada visando Portais de Autenticação User-ID™ da **Palo Alto Networks** que estão expostos a endereços IP não confiáveis e/ou à internet pública", disse a **Palo Alto Networks** em um aviso na quarta-feira. ### Passos de Mitigação A **Palo Alto Networks** está aconselhando os clientes a implementar medidas de mitigação imediatas. "Clientes que seguem as melhores práticas de segurança padrão, como restringir portais sensíveis a redes internas confiáveis, correm um risco significativamente reduzido." Até que um patch esteja disponível, a **Palo Alto Networks** "recomenda fortemente" proteger o Portal de Autenticação User-ID restringindo o acesso apenas a zonas confiáveis ou desabilitando o portal, se a restrição não for viável. Para verificar se seus firewalls estão configurados para usar o serviço vulnerável, navegue até Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal dentro da interface do PAN-OS. ### Exposição na Internet Atualmente, a **Shadowserver** está rastreando mais de 5.800 firewalls VM-series do PAN-OS expostos online, com uma concentração significativa na Ásia (2.466) e América do Norte (1.998).  *Firewalls VM-series expostos online (Shadowserver)* ### Um Histórico de Exploração Firewalls PAN-OS têm sido um alvo recorrente para atacantes, frequentemente explorando vulnerabilidades zero-day. Em novembro de 2024, a **Shadowserver** relatou milhares de firewalls comprometidos pela encadeamento de dois zero-days do PAN-OS. Um mês depois, outra falha de DoS no PAN-OS foi explorada, forçando firewalls a reiniciar e desabilitar proteções. Em fevereiro, atacantes abusaram de três outras falhas no PAN-OS para comprometer firewalls com interfaces de gerenciamento voltadas para a internet. Os produtos e serviços da **Palo Alto Networks** são usados por mais de 70.000 clientes em todo o mundo, incluindo 90% das empresas Fortune 100 e a maioria dos maiores bancos dos EUA, tornando esta uma vulnerabilidade de alto impacto. --- *Atualização 06 de maio, 11:45 EDT:* A **Palo Alto Networks** forneceu a seguinte declaração após a publicação do artigo: "Esta vulnerabilidade é específica para um número limitado de clientes com seu Portal de Autenticação User-ID (Portal Captivo) exposto à internet pública ou a endereços IP não confiáveis. Observamos exploração limitada deste problema e estamos trabalhando para lançar correções de software, com as primeiras atualizações esperadas para estarem disponíveis em 13 de maio de 2026", disse a empresa ao BleepingComputer. "Fornecemos orientações claras de mitigação aos nossos clientes para proteger seus ambientes imediatamente. Este problema não afeta os appliances Cloud NGFW ou Panorama. Permanecemos comprometidos com uma abordagem transparente e focada em segurança para proteger nossa base global de clientes." <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0"><img alt="imagem do artigo" src="https://www.bleepstatic.com/c/p/autonomous-validation2.jpg"></a> ## <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">99% do que o Mythos encontrou ainda não foi corrigido.</a> IA encadeou quatro zero-days em um único exploit que contornou os sandboxes de renderizador e de sistema operacional. Uma onda de novos exploits está chegando. No Autonomous Validation Summit (12 e 14 de maio), veja como a validação autônoma e rica em contexto encontra o que é explorável, prova que os controles se mantêm e fecha o ciclo de remediação. <a rel="noopener nofollow" href="https://hubs.li/Q04crVgD0">Garanta seu Lugar</a>