Palo Alto Networks alertou sobre uma vulnerabilidade de gravidade crítica no portal de autenticação User-ID (conhecido como Captive Portal) da PAN-OS que já está sendo explorada em ataques dirigidos. Identificada como CVE‐2026‐0300, trata-se de um excesso de búfer que permite a um atacante não autenticado executar código arbitrário com privilégios de root em dispositivos PA-Series e VM-Series expostos à Internet por pacotes especialmente manipulados.
A capacidade de executar código como root em um corta-fogo implica um risco extremo: um atacante pode desativar controles, criar persistência, interceptar ou manipular tráfego, e usar a equipe comprometida como trampolim para se mover lateralmente dentro da rede. Por isso, Palo Alto descreveu a falha com a máxima severidade e indicou que já existem evidências de exploração limitada contra portais de autenticação acessíveis a partir de endereços não confiáveis ou da Internet pública.
Se a sua organização usar a PAN-OS, verifique imediatamente se o portal de autenticação está habilitado e exposto. Palo Alto oferece uma página com detalhes técnicos e recomendações iniciais em seu aviso oficial: https://security.paloaltonetworks.com/CVE-2026-0300. Também é conveniente verificar a configuração concreta do Captive Portal na documentação técnica do produto para identificar e mitigar rapidamente a exposição: https://docs.paloaltonetworks.com/.../configure-captive-portal.
Um dado preocupante de contexto: serviços de rastreamento da Internet detectam milhares de instâncias de firewalls PAN-OS acessíveis publicamente. Shadowserver, por exemplo, relata mais de 5.800 firewalls VM-Series expostos online, concentrados principalmente na Ásia e na América do Norte; isso significa que a superfície de ataque potencial é grande e que muitas organizações poderiam estar em risco enquanto não se aplique um adesivo ou mitigação definitiva. Veja aqui o seguimento público: https://dashboard.shadowserver.org/....
Até que Palo Alto publique um adesivo, a medida mais urgente e prática é reduzir a exposição: restringir o acesso ao User‐ID Authentication Portal a áreas de rede de confiança e, se não puder garantir essa restrição, desactive o portal temporariamente. Essa recomendação é coerente com as práticas de segurança em gestão de perímetros: nunca deixar serviços sensíveis acessíveis a partir de redes não confiáveis sem controles adicionais.
Além de desativar ou acotar o acesso, implemente controles compensatórios: aplique regras de listas de controle de acesso (ACL) em bordas de rede e em provedores de trânsito para bloquear acesso à interface de endereços públicos, obrigue o uso de VPNs ou túneis de gestão para a administração remota, e assegure que a gestão do firewall não esteja diretamente exposta à Internet. Monitorize com prioridade os logs de eventos e os alertas de integridade do dispositivo buscando comportamentos anormais (reinicios não planejados, mudanças de configuração não autorizadas, conexões a IPs suspeitos).
Se suspeitar de compromisso, proceda a um plano de resposta: isole-se o equipamento afectado da rede, recopile artefatos forenses (logs do sistema, configurações, capturas de tráfego), não confie na imagem do dispositivo até uma reconstrução limpa de uma imagem conhecida e firme as credenciais administrativas após a recuperação. Considere a ajuda de uma equipa forense externa e comunique o incidente às partes pertinentes segundo requisitos regulamentares e contratos.
Esta vulnerabilidade se enquadra numa tendência: nos últimos meses, várias falhas da PAN-OS foram exploradas na natureza, mostrando que os dispositivos de segurança com interfaces expostas são objetivos prioritários para atacantes que procuram controle persistente. Uma vez que Palo Alto é fornecedor de uma porção ampla da infraestrutura crítica e corporativa global, os impactos potenciais abrangem desde interrupções pontuais até lacunas que comprometam informações sensíveis de clientes e empregados.
Finalmente, documente e automatice a detecção e mitigação: inventarie todos os firewalls e portais de autenticação, priorize aqueles expostos publicamente, aplique regras de acesso emergentes e planifique a aplicação do adesivo oficial enquanto estiver disponível. Mantenha-se informado através do aviso do fabricante e de feeds de inteligência reputados; a janela entre a divulgação e a exploração maciça pode ser curta, pelo que a rapidez e a disciplina operacional são chaves para minimizar o impacto.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...