Ilustração de firewall corporativo da Palo Alto comprometido por ataque remoto
Notícias

Falha grave no PAN-OS: CVE-2026-0300 permite ataque remoto

Matheus Azzi 6 min de leitura

Nos últimos dias, uma vulnerabilidade crítica batizada de CVE-2026-0300 expôs milhares de organizações que usam firewalls da linha PA-Series e VM-Series baseados em PAN-OS. O alerta chegou acompanhado de um agravante: segundo os principais comunicados oficiais, ataques já estão sendo realizados de forma automatizada a partir da internet, com casos confirmados de invasões enquanto você lê este texto (confirmação dos ataques ativos).

Como centro de conteúdo especializado em segurança e infraestrutura, nós da SECINFRA acompanhamos as principais ameaças do setor, especialmente aquelas com potencial de comprometimento total de ambientes protegidos por firewalls. Os detalhes são alarmantes – e as ações precisam ser rápidas.

O que é a vulnerabilidade CVE-2026-0300?

De modo direto, trata-se de uma falha de buffer overflow no serviço User-ID™ Authentication Portal/Captive Portal dos firewalls que usam o PAN-OS. O problema ocorre quando pacotes de rede criados de forma precisa são enviados para endpoints expostos deste serviço. Não é preciso senha, nenhuma interação do usuário e nem condições especiais para explorar a falha.

A pontuação CVSS chega a 9.3 – o patamar máximo em critérios de exposição, quando o Authentication Portal está acessível a partir da Internet. Isso significa que um invasor pode executar qualquer código com privilégio de root diretamente no firewall comprometido, sem barreiras adicionais, conforme alertas governamentais.

Ataques já estão acontecendo e visam portais de autenticação abertos na web.

Dispositivos impactados

A vulnerabilidade CVE-2026-0300 afeta as séries de dispositivos PA-Series e VM-Series que ainda não aplicaram a versão corrigida do PAN-OS. Segundo alerta técnico detalhado e centros de resposta a incidentes, as versões atingidas são:

  • PAN-OS 10.2 – abaixo da versão 10.2.7-h8
  • PAN-OS 11.1 – abaixo da versão 11.1.2-h3
  • PAN-OS 11.2 – abaixo da versão 11.2.0-h3
  • PAN-OS 12.1 – abaixo da versão 12.1.0-h2

Segundo os boletins, apenas dispositivos Prisma Access, Cloud NGFW e Panorama continuam seguros nesta brecha. Mas a grande maioria de firewalls enterprise nas empresas brasileiras e globais está na lista de risco imediato.

Como funciona e por que é tão grave?

Ao enviar pacotes de rede cuidadosamente manipulados para o Authentication Portal, um atacante pode causar o estouro de buffer e assumir controle do firewall. Não é preciso força bruta, phishing nem qualquer truque de engenharia social.

O mais preocupante é que o atacante ganha acesso root ao sistema operacional do firewall. Isso representa:

  • Movimentação lateral: usar o firewall para atacar outros pontos internos da rede.
  • Interceptação de tráfego: modificar, espionar ou redirecionar fluxos de dados críticos.
  • Roubo de credenciais: capturar informações transitando entre usuários e sistemas protegidos.
  • Implantação de backdoors: garantir acesso persistente e oculto.

Firewalls geralmente concentram o “coração” das comunicações corporativas. Com eles dominados, a porta para invasões totais fica escancarada.

Quem está em risco imediato?

De acordo com relatos de incidentes, atacantes estão escaneando a Internet para portais Authentication Portal/Captive Portal abertos ou voltados para redes externas e IPs não confiáveis. Administradores que deixaram este serviço acessível sem restrição urgente enfrentam risco de ataque em minutos. Já existe exploração comprovada guiando bots e exploits automáticos.

  • Empresas com Authentication Portal ativado e exposto à internet
  • Ambientes híbridos onde IPs externos têm rota para o serviço
  • Firewalls sem atualização nos ramos específicos mencionados

Todos esses cenários constituem emergência.

O que fazer imediatamente?

Enquanto os patches definitivos estão sendo liberados entre 13 e 28 de maio de 2026, é urgente tomar medidas de mitigação:

  • Restringir o acesso ao Authentication Portal somente a IPs internos de confiança.
  • Desabilitar o portal se não for realmente necessário – muitos ambientes nunca usam esse recurso.
  • Verificar as configurações em Device > User Identification > Authentication Portal Settings.
  • Priorizar o isolamento de qualquer serviço do firewall exposto a redes externas, inclusive VPNs auxiliares.

As recomendações oficiais reforçam: conexões de fora da rede, incluindo de provedores, visitantes e terceiros, não devem acessar esse portal até a aplicação do patch (conforme resposta a incidentes internacionais).

Patch, atualização e Threat Prevention

Segundo orientações das equipes de resposta, os patches oficiais para cada ramo de software serão publicados entre 13 e 28 de maio de 2026. Os administradores devem rastrear a sua versão instalada e programar a atualização imediatamente para eliminar o risco de exploração.

Já para clientes que possuem licença de Threat Prevention à partir do PAN-OS 11.1, está disponível desde 5 de maio de 2026 uma assinatura capaz de bloquear tentativas conhecidas de exploração — mas isto só protege contra formas já catalogadas de ataque automatizado. Não substitui a atualização definitiva do sistema.

Como identificar exposição à vulnerabilidade

Nossa sugestão prática, baseada no que discutimos frequentemente na comunidade SECINFRA, é parar tudo e:

  • Acessar o painel do firewall e revisar se o Authentication Portal/Captive Portal está ativado.
  • Checar se há regras permitindo acesso a partir de qualquer IP externo ou intervalos de redes públicas.
  • Monitorar os logs em busca de tentativas incomuns de conexão ao portal.

Firewalls são peças críticas e ataques já estão documentados. Para se aprofundar, consulte nosso análise detalhada da CVE-2026-0300 e o catálogo de vulnerabilidades do PAN-OS disponíveis em nosso canal.

Respostas ágeis podem ser a diferença entre a proteção e o colapso de toda a sua infraestrutura digital.

Conclusão

A vulnerabilidade CVE-2026-0300 representa o tipo de ameaça que exige máxima prioridade das equipes de segurança e redes. O comprometimento root do firewall, sem interação do usuário, coloca em risco a comunicação, os segredos e o controle total da organização. As recomendações de isolamento, revisão de exposição e atualização de firmware devem ser seguidas sem demora, pois os ataques já foram confirmados e continuam avançando.

No SECINFRA, seguimos acompanhando novidades técnicas e novos desdobramentos sobre o tema, trazendo materiais semanais para quem quer aprimorar sua prática e se preparar para cenários críticos. Participe da nossa comunidade para receber atualizações, tutoriais e alertas em tempo real — e garanta sua postura proativa na defesa da sua empresa.

Perguntas frequentes

O que é a falha CVE-2026-0300?

A CVE-2026-0300 é uma vulnerabilidade no PAN-OS usada em firewalls PA-Series e VM-Series, permitindo que atacantes executem código remoto com privilégios de root ao explorar um buffer overflow no Authentication Portal. Não é necessário senha nem interação, tornando este um vetor de ataque perigoso.

Como corrigir a vulnerabilidade no PAN-OS?

Para corrigir, é preciso atualizar o PAN-OS para a versão mais recente disponibilizada pelo fabricante para o seu ramo de firmware, ou aplicar as recomendações de mitigação: restrinja o acesso ao Authentication Portal apenas para IPs internos confiáveis ou desabilite o portal até que o patch definitivo seja instalado. O caminho para revisar as configurações é Device > User Identification > Authentication Portal Settings.

Quais versões do PAN-OS são afetadas?

PAN-OS 10.2 (abaixo da 10.2.7-h8), 11.1 (abaixo da 11.1.2-h3), 11.2 (abaixo da 11.2.0-h3) e 12.1 (abaixo da 12.1.0-h2). Firewalls Prisma Access, Cloud NGFW e Panorama não estão impactados por esta vulnerabilidade.

Existe atualização disponível para o problema?

Sim, as atualizações para a CVE-2026-0300 estão sendo liberadas entre 13 e 28 de maio de 2026, dependendo do ramo de firmware do seu firewall. Recomendamos monitorar o site do fabricante e programar a aplicação imediata dessas correções.

Quais riscos essa falha pode causar?

Riscos incluem controle absoluto do firewall por atacantes, movimentação lateral dentro da rede, interceptação de dados sensíveis, roubo de credenciais e implantação de backdoors para ataques contínuos.

Deixe um comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *