CVE-2026-0257: o que é a falha de bypass de autenticação no GlobalProtect do PAN-OS da Palo Alto e como priorizar a correção
A CVE-2026-0257 é uma vulnerabilidade de bypass de autenticação no GlobalProtect do PAN-OS, software de firewall da Palo Alto Networks, que permite a um atacante estabelecer uma conexão VPN não autorizada à rede interna. A falha está sob exploração ativa no mundo real e foi incluída no catálogo Known Exploited Vulnerabilities (KEV) da CISA em 29 de maio de 2026. Este artigo explica o que é a CVE-2026-0257, como o ataque funciona, quais ambientes são afetados e como gerenciar a priorização do patch em um parque com centenas a milhares de dispositivos.
Nota editorial sobre severidade: o score CVSS atribuído à CVE-2026-0257 varia entre as fontes públicas — o aviso da Palo Alto Networks a classifica como severidade média, enquanto análises de terceiros citam scores na faixa alta (em torno de 9.1). Independentemente do número, a inclusão na CISA KEV e a confirmação de exploração ativa elevam a urgência operacional ao nível máximo: o critério de priorização passa a ser a exploração observada, não o score isolado.
O que é a CVE-2026-0257
A CVE-2026-0257 é uma vulnerabilidade de autenticação incorreta (CWE-287) no portal e no gateway do GlobalProtect, o componente de VPN de acesso remoto do PAN-OS da Palo Alto Networks. A falha permite que um atacante remoto contorne os controles de autenticação e estabeleça uma sessão VPN não autorizada quando uma configuração específica está presente. A Palo Alto Networks divulgou o aviso em 13 de maio de 2026 e o atualizou em 29 de maio de 2026, ao confirmar tentativas de exploração contra dispositivos não corrigidos.
| Campo | Detalhe |
|
Identificador |
CVE-2026-0257 |
|
Componente afetado |
GlobalProtect (portal e gateway) no PAN-OS |
|
Tipo de falha |
Bypass de autenticação (CWE-287) |
|
Severidade CVSS |
Divergente entre fontes (média no aviso oficial; ~9.1 em análises de terceiros) |
|
Vetor de ataque |
Rede (remoto) |
|
Divulgação |
13/05/2026; aviso atualizado em 29/05/2026 |
|
CISA KEV |
Adicionada em 29/05/2026; prazo FCEB em 01/06/2026 |
|
Exploração ativa |
Sim, confirmada por Palo Alto Networks e Rapid7 |
|
Não afetados |
Panorama e Cloud NGFW |
Como o ataque à CVE-2026-0257 funciona
O ataque à CVE-2026-0257 explora a forma como o GlobalProtect valida cookies de autenticação. Segundo a análise da Rapid7, em ambientes vulneráveis o Cloud Authentication Service (CAS) estava desabilitado e o portal ou gateway do GlobalProtect estava configurado com authentication override cookies habilitados. Nessa condição, um atacante consegue forjar um cookie de autenticação válido e autenticar-se sem credenciais legítimas, estabelecendo um túnel VPN para dentro da rede corporativa.
A CVE-2026-0257 não concede, por si só, execução remota de código. O risco está no acesso não autorizado: uma sessão VPN forjada coloca o atacante no mesmo nível de rede de um usuário VPN autenticado, abrindo caminho para reconhecimento interno, roubo de credenciais, movimento lateral e abuso de acesso confiável.
A Rapid7 documentou exploração desde 17 de maio de 2026, em ao menos duas ondas de ataque originadas de infraestrutura de hospedagem de baixo custo. Em ambos os casos, os atacantes usaram cookies de override forjados direcionados à conta de administrador local para autenticar-se nos gateways.
Quais ambientes PAN-OS são afetados pela CVE-2026-0257
A CVE-2026-0257 afeta implantações do PAN-OS com o portal ou gateway GlobalProtect expostos e com a configuração de risco presente (authentication override cookies habilitados e CAS desabilitado). Equipamentos Panorama e Cloud NGFW não são impactados. Como a exploração é oportunista e mira qualquer instância GlobalProtect exposta na internet, toda implantação voltada para a internet deve ser tratada como alvo prioritário de revisão, e não apenas como um dispositivo a atualizar.
Impacto da CVE-2026-0257 para empresas brasileiras
Para empresas com 500 a 5.000 endpoints, a CVE-2026-0257 representa um risco de intrusão na borda da rede. O GlobalProtect costuma ser o ponto de entrada de acesso remoto de colaboradores e prestadores; um bypass de autenticação nesse componente transforma o controle de acesso remoto em uma porta aberta. Os impactos práticos incluem acesso não autorizado a sistemas internos, exposição de dados sensíveis, risco de movimentação lateral e não conformidade com requisitos da LGPD relativos a controle de acesso e resposta a incidentes.
A urgência é maior porque a falha está na CISA KEV. O catálogo KEV é a lista de vulnerabilidades que deixaram de ser risco teórico e passaram a abuso observado. Quando uma CVE entra no KEV, a correção deixa de ser uma decisão de planilha e passa a ser uma corrida contra adversários ativos.
Como mitigar e corrigir a CVE-2026-0257
- Identifique todos os dispositivos PAN-OS com GlobalProtect expostos e verifique a versão e a configuração de authentication override cookies e do Cloud Authentication Service.
- Aplique a versão corrigida do PAN-OS indicada no aviso oficial da Palo Alto Networks. A atualização é a medida definitiva; mitigações de configuração são paliativas.
- Onde a atualização não puder ser imediata, aplique as mitigações de configuração descritas no aviso oficial, sem tratá-las como substitutas do upgrade.
- Revise os logs do GlobalProtect e do firewall em busca de autenticações VPN suspeitas, com atenção especial à janela entre 17 e 29 de maio de 2026, quando a exploração foi reportada publicamente.
- Trate os portais e gateways expostos como alvos de investigação de incidente, e não apenas como dispositivos a atualizar.
Como a gestão de vulnerabilidades e patches ajuda nesse contexto
Casos como a CVE-2026-0257 expõem um problema operacional recorrente: a maioria das equipes de TI não tem visibilidade contínua de quais ativos estão vulneráveis nem capacidade de priorizar correções por risco real de exploração. Uma vulnerabilidade na CISA KEV precisa ser corrigida antes de centenas de outras com score igual ou maior, porque está sendo ativamente explorada.
O Vulnerability Manager Plus, da ManageEngine, é uma solução de gestão de vulnerabilidades que faz varredura contínua de ativos, identifica falhas conhecidas, correlaciona com inteligência de exploração e prioriza a remediação por risco. Em um cenário como o da CVE-2026-0257, a solução ajuda a equipe de segurança a localizar rapidamente os dispositivos afetados e a colocá-los no topo da fila de correção.
O Patch Manager Plus, da ManageEngine, é uma solução de gestão de patches que automatiza a implantação de atualizações em sistemas operacionais e aplicativos de terceiros, com janelas de manutenção, testes e relatórios de conformidade. Para o IT Manager que precisa fechar uma janela de exposição em centenas de dispositivos sob prazo, a automação de patches reduz o tempo entre a divulgação da falha e a correção efetiva.
A Dinamio, parceira ManageEngine focada no mercado mid-market brasileiro, atua de forma consultiva na implementação dessas soluções: mapeamento de ativos, definição de políticas de priorização por risco e integração entre gestão de vulnerabilidades e gestão de patches, para que eventos como a CVE-2026-0257 sejam tratados como rotina controlada, e não como crise reativa.
Conclusão
A CVE-2026-0257 mostra por que a priorização de patches por risco real de exploração é mais importante do que reagir apenas ao score CVSS. Uma falha sob exploração ativa e listada na CISA KEV exige correção imediata, e empresas com centenas a milhares de dispositivos precisam de visibilidade contínua e automação para fechar a janela de exposição a tempo.