Palo Alto alerta que falha RCE no PAN-OS está sob exploração ativa

A Palo Alto Networks alertou seus clientes de que invasores já estão explorando uma vulnerabilidade crítica no PAN-OS, identificada como CVE-2026-0300, que pode permitir remote code execution sem autenticação e com privilégios de root em firewalls expostos. A falha afeta o User-ID Authentication Portal, também conhecido como Captive Portal, em dispositivos PA-Series e VM-Series.

Esse é o tipo de problema de segurança que sobe imediatamente para o topo da fila de patch corporativa, mesmo antes de existir um patch disponível. Um bug explorável remotamente em software de firewall de perímetro já é grave por si só. O fato de a Palo Alto afirmar que a exploração está em andamento transforma isso em uma revisão de exposição para o mesmo dia em qualquer organização que opere sistemas afetados com o portal acessível pela internet pública ou por outra rede não confiável.

Segundo a Palo Alto e a cobertura complementar da BleepingComputer, a vulnerabilidade é um buffer overflow no serviço Authentication Portal. A empresa afirma que um invasor não autenticado pode executar código arbitrário como root ao enviar packet especialmente preparados para instâncias expostas. A BleepingComputer também observou que a Shadowserver monitorava mais de 5.800 firewalls PAN-OS VM-Series expostos à internet no momento da reportagem, o que ajuda a dimensionar quantos ambientes podem precisar de revisão urgente.

O risco imediato depende muito da configuração. A Palo Alto diz que os sistemas de maior risco são aqueles com o User-ID Authentication Portal exposto a endereços IP não confiáveis ou à internet aberta. Organizações que não usam o portal, ou que já o restringiram a redes internas confiáveis, estão em situação melhor. Ainda assim, esse é exatamente o tipo de recurso que pode permanecer habilitado por mais tempo do que as equipes imaginam, especialmente em templates de firewall herdados ou implantações antigas em filiais.

O detalhe mais desconfortável é que a falha segue sem patch enquanto a exploração já está acontecendo. Isso significa que os defensores não contam com a sequência usual de advisory, janela de patch e rollout organizado. Em vez disso, precisam identificar primeiro a exposição e mitigar o risco por meio de restrições de acesso ou desativação do recurso. A orientação da Palo Alto é restringir o Authentication Portal apenas a zonas confiáveis, ou desativá-lo por completo se ele não for necessário.

Isso também destaca um padrão mais amplo de segurança. O risco em torno do firewall já não se limita a packet filtering ou interfaces de gerenciamento. Appliances de segurança agora saem de fábrica com serviços de identidade, captive portals, componentes de remote access e recursos de workflow que ampliam a superfície de ataque ao redor do próprio equipamento. Quando um desses serviços apresenta vulnerabilidade, o firewall pode se tornar o ponto de entrada em vez da barreira.

Para as equipes de defesa, a resposta deve ser operacionalmente simples e urgente. Faça o inventário dos dispositivos PAN-OS, confirme se o Authentication Portal está habilitado, verifique se ele está acessível externamente, restrinja o acesso imediatamente e prepare-se para aplicar as correções da Palo Alto assim que estiverem disponíveis. As equipes de segurança também devem revisar logs e network telemetry em busca de requisições incomuns direcionadas ao portal, especialmente em appliances expostos à internet.

Nem todo advisory crítico de segurança merece virar notícia. Este merece, porque combina três fatores que raramente ficam contidos por muito tempo: infraestrutura de perímetro exposta, remote code execution sem autenticação e exploração ativa confirmada. Para organizações que usam configurações afetadas do PAN-OS, isso não é risco de fundo. É um problema real de prevenção de incidentes.