A Palo Alto Networks emitiu um aviso urgente para os seus clientes de que uma vulnerabilidade de contorno de autenticação no software PAN-OS está agora a ser explorada ativamente por agentes maliciosos. A falha, registada como CVE-2026-0257, permite que atacantes ultrapassem as restrições de segurança do portal e gateway GlobalProtect, conseguindo aceder de forma não autorizada a redes corporativas e comprometendo a integridade das empresas afetadas.
Inicialmente resolvida e classificada com gravidade média no início deste mês, a ameaça escalou rapidamente para um nível alto. De acordo com a investigação partilhada pela Rapid7, foram detetadas várias tentativas de exploração bem-sucedidas contra equipamentos que ainda não receberam as correções de segurança. Os primeiros casos de abuso contra clientes começaram a ser observados no dia 17 de maio de 2026.
Como funciona a manipulação de acessos
O problema central reside na forma como o sistema PAN-OS valida os cookies de sobreposição de autenticação. Os investigadores explicam que um equipamento de VPN vulnerável decifra estes cookies com uma chave privada configurada, mas confia cegamente no conteúdo resultante sem realizar qualquer tipo de verificação de assinatura.
Se a infraestrutura reutilizar o mesmo certificado tanto para os serviços HTTPS como para esta funcionalidade de sobreposição, os criminosos conseguem recolher a chave pública através da sessão web e utilizá-la para forjar cookies que a máquina aceita como legítimos. O alvo preferencial tem sido a conta de administrador local. A Rapid7 chegou mesmo a criar uma prova de conceito que ilustra a facilidade com que um intruso consegue gerar um cookie para qualquer utilizador e entrar no sistema sem conhecer as credenciais verdadeiras.
Apesar de a intrusão inicial estar a ter sucesso, os investigadores notam que, na maioria dos incidentes, os atacantes não conseguiram estabelecer uma sessão completa ou realizar movimentos laterais nas redes das vítimas, ficando limitados após a aceitação do cookie forjado.
A importância de aplicar correções imediatas
Perante a escalada destes incidentes, a Agência de Cibersegurança e Segurança de Infraestruturas (CISA) dos Estados Unidos adicionou esta falha ao seu catálogo de vulnerabilidades ativamente exploradas no dia 29 de maio de 2026, com ordens claras para que as agências federais apliquem medidas de mitigação até 1 de junho de 2026.
As organizações que dependem da tecnologia GlobalProtect devem instalar as atualizações de segurança mais recentes o mais rápido possível para blindar as suas redes. Como alternativa temporal ou medida de reforço, os administradores de sistemas podem desativar completamente a funcionalidade de sobreposição de autenticação. Se o uso desta ferramenta for estritamente necessário para as operações diárias, a recomendação das equipas de cibersegurança passa por criar um certificado totalmente isolado, garantindo que não é partilhado com outros serviços no mesmo dispositivo.
Nenhum comentário
Seja o primeiro!