Palo Alto Networks confirmou a exploração em ambientes reais de uma vulnerabilidade crítica na PAN-OS que permite execução remota de código sem autenticação sobre o serviço do User-ID Authentication Portal (conhecido como Captive Portal). A fraqueza, registrada como CVE‐2026‐0300, permite a um atacante enviar pacotes especialmente construídos para provocar um excesso de búfer e executar código com privilégios root em appliances PA‐Series e VM‐Series configurados para usar esse portal.
A gravidade da falha é elevada: se o portal estiver acessível da internet ou de redes não confiáveis o escore CVSS atinge 9.3, enquanto se a sua exposição se limita apenas a endereços IP internos e de confiança baixa até 8.7. Palo Alto Networks descreve a exploração como “limitada” até agora, mas o fato de o vetor ser uma interface de usuário frequentemente exposta implica um risco elevado para organizações que não tenham aplicado controles de acesso estritos.
Os dispositivos em causa incluem vários ramos da PAN-OS (versões 10.2, 11.1, 11.2 e 12.1) abaixo de determinados adesivos; a lista exacta e as datas de adesivos previstas podem ser consultadas no aviso de segurança do fabricante. Palo Alto anunciou que lançará correcções a partir de 13 de maio de 2026, portanto, enquanto as mitigações ativas são a primeira linha de defesa. Para detalhes técnicos e referência do CVE, consulte a base de dados nacional de vulnerabilidades em https://nvd.nist.gov/vuln/detail/CVE-2026-0300 e o portal de avisos de Palo Alto https://security.paloaltonetworks.com/.
As implicações práticas vão além de uma única falha local: um exploit bem-sucedido abre a porta para controle total do firewall, o que pode derivar em evasão de políticas, movimento lateral dentro da rede, exfiltração de dados ou instalação de portas traseiras persistentes. Além disso, a existência de instâncias públicas de portais de autenticação — muitas vezes usadas para captive portals em ambientes Wi-Fi ou para integrar autenticação de usuários — converte muitas organizações em objetivos particularmente atrativos para atacantes que buscam saltar a defesa perimetral.
Enquanto o adesivo oficial é esperado, as medidas preventivas prioritárias são claras e devem ser implementadas imediatamente. Se o User‐ID Authentication Portal não for imprescindível, desactível. Se a sua utilização for necessária, limite o seu alcance apenas para áreas e faixas IP internos de confiança através de listas de controle de acesso (ACL), regras de segurança administrativas e segmentação de rede; evite expor a internet. Refuerce controles de acesso ao plano de gestão do firewall e aplique restrições baseadas em IP e VPN para qualquer acesso remoto de administração.
Além disso, aplique controlos operacionais: verifique registos e telemetria em busca de conexões incomuns ou de pacotes malformados dirigidos ao serviço do portal, segmente e aíle imediatamente qualquer appliance que apresente indícios de compromisso, mude credenciais administrativas e, se for caso disso, restaure de imagens conhecidas limpas. Integre estas ações em seu playbook de resposta a incidentes e notifique a equipe de suporte de Palo Alto para obter assistência e adesivos logo disponíveis.
Para equipamentos de segurança que gerem estoques grandes ou ambientes distribuídos, é crítico identificar rapidamente instâncias expostas: audite portas de ligação e portais acessíveis da internet, use digitalização autorizada e revisões de configuração de firewalls, e coordene com provedores de serviços gerenciados para confirmar que não existam endpoints vulneráveis. Manter uma política de exposição mínima e aplicar atualizações de segurança rotineiras reduz consideravelmente a janela de risco contra este tipo de exploits.
Finalmente, lembre-se de que a atenuação técnica deve ser acompanhada de comunicação e de governação: relatório às partes interessadas internas sobre o risco, priorice activos críticos para a aplicação de adesivos e documente decisões de compensação de risco. A vulnerabilidade CVE-2026-0300 sublinha que mesmo interfaces de “acesso de usuário” podem se tornar vetores de compromisso críticos quando expostos sem controles adequados.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Mini Shai-Hulud: o ataque que transformou as dependências em vetores de intrusão maciça
Resumo do incidente: O GitHub investiga acesso não autorizado a repositórios internos depois de o ator conhecido como TeamPCP ter colocado a venda em um fórum criminoso o supost...
Fox Tempest expõe a fragilidade da assinatura digital na nuvem
A revelação da Microsoft sobre a operação de "malware-signing-as-a-service" conhecida como Fox Tempest volta a colocar no centro a vulnerabilidade mais crítica do ecossistema de...
Trapdoor: a operação de malvertising que transformou apps Android em uma fábrica automática de receitas ilegais
Pesquisadores de cibersegurança descobriram uma operação de malvertising e fraude publicitária móvel batizada como Trapdoor, que converte instalações legítimas de aplicações And...
Do aviso à ação orquestração e IA para acelerar a resposta a incidentes de rede
As equipes de TI e de segurança vivem uma realidade conhecida: um aluvião constante de alertas que chega desde plataformas de monitoramento, sistemas de infraestrutura, serviços...
Nx Console em jaque: como uma extensão de produtividade se tornou um roubo de credenciais e uma ameaça para a cadeia de abastecimento
Um ataque dirigido a desenvolvedores voltou a evidenciar a fragilidade da cadeia de fornecimento do software: a extensão Nx Console para editores como Visual Studio Code, com ma...