A fabricante Palo Alto Networks confirmou a exploração ativa de uma vulnerabilidade crítica zero-day no PAN-OS, sistema operacional utilizado em firewalls corporativos das linhas PA-Series e VM-Series. A falha, identificada como CVE-2026-0300, representa uma ameaça grave para empresas que mantêm dispositivos expostos diretamente à internet.
Segundo informações divulgadas pela própria empresa, criminosos já exploram a vulnerabilidade desde abril de 2026, permitindo execução remota de código com privilégios root. O incidente acende um novo alerta para profissionais de segurança da informação, principalmente em ambientes corporativos que dependem da infraestrutura da Palo Alto Networks para proteger redes internas.
O que é a falha CVE-2026-0300 no PAN-OS?
A vulnerabilidade CVE-2026-0300 foi classificada como crítica por permitir que invasores remotos não autenticados executem comandos arbitrários diretamente no firewall comprometido.
O problema está localizado no serviço User-ID Authentication Portal, também conhecido como Captive Portal, presente no PAN-OS. Trata-se de um estouro de buffer que pode ser explorado sem necessidade de autenticação prévia.
Como funciona o ataque?
Os atacantes conseguem enviar requisições especialmente criadas para o portal vulnerável. Quando explorada com sucesso, a falha concede acesso root ao dispositivo afetado.
Isso significa que o criminoso pode:
- Controlar completamente o firewall;
- Interceptar tráfego da rede;
- Roubar credenciais corporativas;
- Movimentar-se lateralmente pela infraestrutura;
- Apagar rastros da invasão;
- Implantar malware adicional.
O cenário é especialmente preocupante para equipes de segurança da informação, já que firewalls comprometidos se tornam portas de entrada estratégicas para ataques mais amplos.
Dispositivos afetados pela vulnerabilidade
A exploração ativa atinge principalmente:
Firewalls PA-Series
Os equipamentos físicos da linha PA-Series usados em empresas, provedores e data centers podem ser comprometidos caso o portal esteja acessível externamente.
Firewalls VM-Series
As versões virtualizadas utilizadas em ambientes cloud também estão vulneráveis.
O risco aumenta quando:
- O User-ID Authentication Portal está habilitado;
- O Captive Portal está exposto à internet;
- Interfaces L3 ficam acessíveis por redes não confiáveis;
- Response Pages permanecem habilitadas em perfis inseguros.
Especialistas alertam que organizações com exposição pública desses recursos estão entre os principais alvos.
Exploração foi ligada a grupo patrocinado por Estado
A equipe Unit 42, divisão de inteligência da Palo Alto Networks, associou a campanha ao cluster CL-STA-1132.
Embora detalhes sobre o grupo não tenham sido totalmente divulgados, os indícios apontam para um provável agente patrocinado por Estado.
Linha do tempo dos ataques
Os pesquisadores identificaram:
- Primeiras tentativas de exploração em 9 de abril de 2026;
- Execução remota de código obtida cerca de uma semana depois;
- Persistência avançada após o comprometimento;
- Movimentação lateral dentro das redes corporativas.
A velocidade da evolução do ataque mostra alto nível técnico dos invasores.
Técnicas usadas pelos invasores após o comprometimento
Após obter acesso root ao firewall vulnerável, os atacantes realizaram diversas ações para dificultar a investigação.
Injeção de shellcode no nginx
Os criminosos injetaram shellcode diretamente em processos do nginx executados no sistema.
Isso permite esconder atividades maliciosas dentro de serviços legítimos.
Limpeza de logs
Os invasores removeram:
- Logs de crash;
- Mensagens do kernel;
- Arquivos de dump;
- Registros de eventos relacionados à falha.
Esse comportamento dificulta análises forenses e amplia o tempo de permanência do atacante na rede.
Persistência silenciosa
A campanha mostra um foco claro em permanência furtiva dentro dos ambientes comprometidos.
Para especialistas em segurança da informação, isso indica operações avançadas de espionagem ou preparação para ataques maiores.
Ataques avançaram para o Active Directory
Quatro dias após o acesso inicial ao firewall, os atacantes utilizaram credenciais coletadas para iniciar reconhecimento interno.
Enumeração do Active Directory
Os criminosos acessaram:
- A raiz do domínio;
- Estruturas DomainDnsZones;
- Objetos relacionados à autenticação corporativa.
Esse tipo de movimentação geralmente antecede:
- Roubo massivo de credenciais;
- Escalada de privilégios;
- Implantação de ransomware;
- Comprometimento completo do domínio.
A invasão demonstra como uma falha crítica em firewall pode rapidamente evoluir para um incidente grave de segurança da informação.
Por que a falha no PAN-OS é tão perigosa?
O impacto da vulnerabilidade vai além do firewall em si.
Dispositivos de borda possuem acesso privilegiado ao tráfego corporativo, tornando-se alvos extremamente valiosos para cibercriminosos.
Principais riscos da exploração
Entre os impactos possíveis estão:
- Controle total da rede;
- Interceptação de comunicações;
- Roubo de dados sensíveis;
- Espionagem corporativa;
- Paralisação operacional;
- Ataques internos silenciosos.
Firewalls são alvos estratégicos
Nos últimos anos, grupos avançados passaram a explorar equipamentos de segurança justamente porque eles costumam possuir:
- Alto nível de privilégio;
- Visibilidade completa do tráfego;
- Integração com Active Directory;
- Credenciais armazenadas;
- Conexão direta com múltiplas redes.
Por isso, falhas como a CVE-2026-0300 recebem atenção máxima da comunidade de segurança da informação.
Como se proteger da vulnerabilidade CVE-2026-0300
A Palo Alto Networks recomenda medidas imediatas para reduzir a superfície de ataque.
Restringir acesso ao User-ID Authentication Portal
O portal deve ficar acessível apenas em zonas internas confiáveis.
Jamais exponha diretamente o serviço à internet pública.
Desativar o recurso quando possível
Se o User-ID Authentication Portal não for necessário, a recomendação é desativá-lo imediatamente.
Revisar interfaces expostas
Administradores devem:
- Auditar interfaces L3;
- Revisar regras de firewall;
- Verificar perfis de gerenciamento;
- Remover acessos inseguros.
Desabilitar Response Pages
As Response Pages devem ser desativadas em ambientes acessíveis por redes não confiáveis.
Reforçar monitoramento
Além das medidas corretivas, equipes de segurança da informação precisam ampliar:
- Monitoramento de logs;
- Análise de tráfego;
- Busca por indicadores de comprometimento;
- Auditorias no Active Directory.
Cresce a preocupação com ataques a equipamentos de segurança
A exploração da falha no PAN-OS reforça uma tendência preocupante no cenário global de cibersegurança.
Equipamentos responsáveis pela proteção das empresas tornaram-se alvos prioritários para grupos sofisticados.
Quando comprometidos, firewalls deixam de ser barreiras defensivas e passam a funcionar como pontos estratégicos de espionagem e invasão.
Diante desse cenário, organizações precisam revisar urgentemente suas políticas de exposição de serviços críticos e fortalecer suas estratégias de segurança da informação para reduzir riscos operacionais e evitar comprometimentos em larga escala.
