A Palo Alto Networks alertou nesta quinta-feira (30/05) que grupos invasores estão explorando ativamente uma falha no sistema PAN-OS GlobalProtect. Rastreada sob o código CVE-2026-0257, a brecha de sistema permite que invasores ignorem etapas de validação de identidade e estabeleçam conexões virtuais não autorizadas, abrindo caminho para o acesso a redes corporativas.
A fabricante de equipamentos de rede já havia publicado uma correção de segurança na primeira quinzena de maio, quando o risco foi inicialmente classificado como médio. Naquela ocasião, a documentação da empresa indicava que um ataque bem-sucedido dependia de condições técnicas, exigindo que os dispositivos estivessem configurados com recursos de substituição de autenticação ativados e utilizassem um formato de certificado digital. Contudo, a detecção de incidentes confirmados em companhias que ainda não haviam aplicado o pacote de atualização fez com que a fabricante elevasse a gravidade do alerta para o nível máximo de risco.
Dinâmica dos acessos não autorizados
As campanhas criminosas tirando proveito da brecha começaram a ser monitoradas na segunda quinzena de maio. Segundo a firma de segurança Rapid7, clientes de diversos setores de mercado registraram incidentes em seus ambientes de TI logo a partir do dia 17 de maio. Os relatórios apontam que os agressores conseguiram realizar a intrusão primária, estabelecendo o túnel encriptado para o espaço interno de diversas organizações.
Apesar de o acesso não autorizado ter ocorrido em casos documentados, especialistas de cibersegurança destacaram que não há indícios de movimentação lateral a partir dos equipamentos atingidos. Isso mostra que os criminosos obtiveram acesso à rede da empresa, mas enfrentaram barreiras de segmento ou optaram por não tentar a extração imediata de bancos de dados das organizações sob mira do ataque.
A vulnerabilidade de autenticação atinge partes centrais da arquitetura de controle da Palo Alto Networks, focando o portal de entrada e o gateway de gestão do sistema GlobalProtect. Essas ferramentas são empregadas em escala corporativa para garantir que funcionários consigam consultar recursos da empresa durante os horários de jornada remota. O boletim de alerta do fabricante aponta, por outro lado, que as plataformas de gestão Panorama e o serviço Cloud NGFW não abrigam o mesmo erro estrutural e continuam blindados contra este método de desvio.
Diretrizes de mitigação e avisos oficiais
Para barrar as tentativas de invasão, as diretorias de tecnologia das organizações precisam acionar protocolos de defesa emergenciais. O manual de contenção emitido pela fornecedora do serviço exige a execução mandatória das seguintes etapas:
- Instalar os pacotes de correção de software liberados pela Palo Alto Networks para as versões afetadas.
- Auditar os registros de atividade de conexão para identificar fontes de tráfego de fora da rotina usual.
- Revisar as opções de autenticação ativadas no PAN-OS e desligar extensões opcionais sem uso regular da equipe.
- Implantar rastreamento focado nas contas de trabalho que anotem comportamento de rede de difícil rastreio nos horários de logon remoto.
O nível de dano da ocorrência chamou a atenção dos órgãos dos Estados Unidos dedicados à estabilidade cibernética. Na última quarta-feira (29/05), a Agência de Segurança Cibernética e de Infraestrutura (CISA) listou a vulnerabilidade CVE-2026-0257 no seu guia KEV de ocorrências de código exploradas ativamente. Essa catalogação força um limite de dias para que os departamentos públicos instalem a solução homologada e funciona como recado de atenção imediata para gestores de tecnologia do âmbito civil empresarial.
A exploração constante de dispositivos conectados na internet por piratas da rede evidencia uma tática de impacto em massa, porque derrubar o portal de acesso inicial anula várias frentes de barreira defensiva da corporação de imediato. Para as companhias de presença no Brasil que lidam com plataformas de acesso externo dessa marca, a remediação do sistema de defesa no prazo de dias é o plano primário e exigido para estancar riscos financeiros para os serviços e para a retenção de dados confidenciais dos negócios e de terceiros.
