hackers miram itália e espanha no covid-19

CISA: falha crítica no PAN-OS da Palo Alto

A agência de cibersegurança dos EUA (CISA) adicionou ontem a vulnerabilidade CVE-2026-0257 (CVSS de 7.8) do PAN-OS, da Palo Alto Networks, ao seu catálogo de vulnerabilidades conhecidas exploradas (KEV). A falha afeta os componentes GlobalProtect portal e gateway, permitindo que atacantes contornem a autenticação e estabeleçam conexões VPN não autorizadas, conforme comunicado da agência.

A Palo Alto Networks corrigiu a vulnerabilidade em 13 de maio. Duas semanas depois, a empresa de segurança Rapid7 confirmou a exploração ativa em múltiplos ambientes de clientes, segundo reportagem do SecurityAffairs. A Rapid7 detectou a primeira onda de exploração em 18 de maio às 01h51 UTC, originando-se de infraestrutura hospedada pela Vultr, com autenticação baseada em cookie para a conta de administrador local.

Condição para exploração e onda de ataques

A vulnerabilidade só é explorável quando duas condições estão presentes: o serviço Cloud Authentication está desabilitado e os cookies de substituição de autenticação estão ativados com o certificado compartilhado com o serviço HTTPS, explicou a Rapid7 em relatório. Se o mesmo certificado é usado para o serviço HTTPS e para criptografia de cookies, um atacante pode capturar a chave pública da sessão HTTPS e forjar um cookie para qualquer usuário, incluindo o administrador local, sem necessidade de credenciais.

Uma segunda onda de ataques ocorreu em 21 de maio, desta vez vinda da Dromatics Systems, utilizando o mesmo endereço MAC falsificado (aa:bb:cc:dd:ee:ff). Devido à consistência desse endereço, a Rapid7 avaliou que um único ator de ameaça está por trás das duas campanhas. Na segunda onda, a empresa observou a atribuição de IP de VPN após a aceitação do cookie, concedendo ao atacante acesso à rede interna.

A CISA ordenou que agências federais dos EUA corrijam a falha até 1º de junho de 2026. A vulnerabilidade não afeta implantações Panorama ou Cloud NGFW.