🔥 Fique por dentro das novidades mais quentes do momento! 🔥
A notícia que você procurava está aqui!
Apoie esse projeto de divulgacao de noticias! Clique aqui
A Palo Alto Networks está alertando que os hackers agora estão explorando uma falha de desvio de autenticação do PAN-OS GlobalProtect, rastreada como CVE-2026-0257, em ataques que tentam violar redes corporativas.
A empresa corrigiu a falha CVE-2026-0257 no início deste mês, alertando que ela poderia ser usada para estabelecer conexões VPN não autorizadas no dispositivo.
“O portal e gateway GlobalProtect do software PAN-OS® da Palo Alto Networks permite que o invasor contorne as restrições de segurança e estabeleça uma conexão VPN não autorizada”, diz o comunicado da Palo Alto.
A falha recebeu uma classificação de gravidade Média porque exige que os dispositivos sejam configurados com cookies de substituição de autenticação ativados e uma configuração de certificado específica.
No entanto, na sexta-feira, a Palo Alto Networks atualizou o comunicado para alertar que a falha agora estava sendo explorada ativamente em ataques contra dispositivos não corrigidos, elevando a classificação de gravidade para Alta.
“A Palo Alto Networks tomou conhecimento de tentativas limitadas de exploração em dispositivos PAN-OS sem correção, sem aplicação de mitigações”, diz a atualização.
Esta atualização ocorre depois que o Rapid7 avisou que havia observado a falha sendo explorada contra vários clientes a partir de 17 de maio.
“O Rapid7 MDR identificou uma exploração bem-sucedida em vários clientes, no entanto, não observamos qualquer indicação de movimento lateral bem-sucedido dos dispositivos. A data mais antiga para a exploração observada foi 17 de maio de 2026”, explica Rapid7.
"Em 29 de maio de 2026, esta vulnerabilidade foi adicionada ao CISA KEV."
De acordo com a Rapid7, os ataques começaram com a autenticação de hackers em gateways GlobalProtect usando cookies de substituição de autenticação forjados direcionados à conta do administrador local.
A empresa observou pela primeira vez a exploração em 18 de maio da infraestrutura hospedada pela Vultr, com uma segunda onda de ataques detectada em 21 de maio com origem na Dromatics Systems.
Em alguns casos, os invasores conseguiram se conectar ao dispositivo via VPN usando cookies forjados, concedendo-lhes acesso a redes internas. No entanto, Rapid7 diz que em muitos incidentes, mesmo que o dispositivo tenha aceitado o cookie forjado, não foi possível estabelecer uma sessão VPN completa.
A investigação da Rapid7 sobre os clientes afetados descobriu que os dispositivos afetados tinham cookies de substituição de autenticação GlobalProtect habilitados e foram configurados de uma forma que permitiu que os invasores falsificassem cookies de autenticação válidos.
Os pesquisadores dizem que a falha decorre da validação de cookies de substituição de autenticação do PAN-OS.
Um dispositivo VPN GlobalProtect descriptografa esses tipos de cookies usando uma chave privada configurada e, em seguida, confia no conteúdo descriptografado sem realizar qualquer verificação de assinatura.
Se o mesmo certificado for reutilizado para serviços HTTPS e cookies de substituição de autenticação, os invasores poderão obter a chave pública correspondente por meio da sessão HTTPS e usá-la para criar cookies forjados que o dispositivo aceitará como legítimos.
Rapid7 desenvolveu uma exploração de prova de conceito que demonstra como um invasor pode recuperar os certificados públicos expostos por um portal ou gateway GlobalProtect, gerar um cookie de substituição de autenticação forjado para um usuário arbitrário e autenticar sem conhecer credenciais válidas. Usando este PoC, os pesquisadores autenticaram-se com sucesso em um gateway GlobalProtect sem patch.
As organizações que usam dispositivos VPN GlobalProtect devem instalar imediatamente as atualizações de segurança mais recentes para corrigir as falhas.
Os administradores também podem mitigar a falha desativando o recurso de substituição de autenticação ou utilizando um certificado diferente para esse recurso e não compartilhando-o com outros serviços no dispositivo.
A CISA agora adicionou a falha ao seu catálogo de vulnerabilidades exploradas conhecidas, ordenando que as agências federais mitiguem a falha até 1º de junho de 2026.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
A empresa corrigiu a falha CVE-2026-0257 no início deste mês, alertando que ela poderia ser usada para estabelecer conexões VPN não autorizadas no dispositivo.
“O portal e gateway GlobalProtect do software PAN-OS® da Palo Alto Networks permite que o invasor contorne as restrições de segurança e estabeleça uma conexão VPN não autorizada”, diz o comunicado da Palo Alto.
A falha recebeu uma classificação de gravidade Média porque exige que os dispositivos sejam configurados com cookies de substituição de autenticação ativados e uma configuração de certificado específica.
No entanto, na sexta-feira, a Palo Alto Networks atualizou o comunicado para alertar que a falha agora estava sendo explorada ativamente em ataques contra dispositivos não corrigidos, elevando a classificação de gravidade para Alta.
“A Palo Alto Networks tomou conhecimento de tentativas limitadas de exploração em dispositivos PAN-OS sem correção, sem aplicação de mitigações”, diz a atualização.
Esta atualização ocorre depois que o Rapid7 avisou que havia observado a falha sendo explorada contra vários clientes a partir de 17 de maio.
“O Rapid7 MDR identificou uma exploração bem-sucedida em vários clientes, no entanto, não observamos qualquer indicação de movimento lateral bem-sucedido dos dispositivos. A data mais antiga para a exploração observada foi 17 de maio de 2026”, explica Rapid7.
"Em 29 de maio de 2026, esta vulnerabilidade foi adicionada ao CISA KEV."
De acordo com a Rapid7, os ataques começaram com a autenticação de hackers em gateways GlobalProtect usando cookies de substituição de autenticação forjados direcionados à conta do administrador local.
A empresa observou pela primeira vez a exploração em 18 de maio da infraestrutura hospedada pela Vultr, com uma segunda onda de ataques detectada em 21 de maio com origem na Dromatics Systems.
Em alguns casos, os invasores conseguiram se conectar ao dispositivo via VPN usando cookies forjados, concedendo-lhes acesso a redes internas. No entanto, Rapid7 diz que em muitos incidentes, mesmo que o dispositivo tenha aceitado o cookie forjado, não foi possível estabelecer uma sessão VPN completa.
A investigação da Rapid7 sobre os clientes afetados descobriu que os dispositivos afetados tinham cookies de substituição de autenticação GlobalProtect habilitados e foram configurados de uma forma que permitiu que os invasores falsificassem cookies de autenticação válidos.
Os pesquisadores dizem que a falha decorre da validação de cookies de substituição de autenticação do PAN-OS.
Um dispositivo VPN GlobalProtect descriptografa esses tipos de cookies usando uma chave privada configurada e, em seguida, confia no conteúdo descriptografado sem realizar qualquer verificação de assinatura.
Se o mesmo certificado for reutilizado para serviços HTTPS e cookies de substituição de autenticação, os invasores poderão obter a chave pública correspondente por meio da sessão HTTPS e usá-la para criar cookies forjados que o dispositivo aceitará como legítimos.
Rapid7 desenvolveu uma exploração de prova de conceito que demonstra como um invasor pode recuperar os certificados públicos expostos por um portal ou gateway GlobalProtect, gerar um cookie de substituição de autenticação forjado para um usuário arbitrário e autenticar sem conhecer credenciais válidas. Usando este PoC, os pesquisadores autenticaram-se com sucesso em um gateway GlobalProtect sem patch.
As organizações que usam dispositivos VPN GlobalProtect devem instalar imediatamente as atualizações de segurança mais recentes para corrigir as falhas.
Os administradores também podem mitigar a falha desativando o recurso de substituição de autenticação ou utilizando um certificado diferente para esse recurso e não compartilhando-o com outros serviços no dispositivo.
A CISA agora adicionou a falha ao seu catálogo de vulnerabilidades exploradas conhecidas, ordenando que as agências federais mitiguem a falha até 1º de junho de 2026.
A lacuna de validação: o Pentesting automatizado responde a uma pergunta. Você precisa de seis.
As ferramentas automatizadas de pentesting oferecem valor real, mas foram criadas para responder a uma pergunta: um invasor pode se mover pela rede? Eles não foram criados para testar se seus controles bloqueiam ameaças, se suas regras de detecção são acionadas ou se suas configurações de nuvem são mantidas. Este guia cobre as 6 superfícies que você realmente precisa validar.
Baixe agora
#samirnews #samir #news #boletimtec #falha #de #desvio #de #autenticação #da #palo #alto #globalprotect #vpn #agora #explorada #em #ataques
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário