CVE-2026-0300: o que administradores de firewalls Palo Alto PAN-OS devem fazer agora

Por que a CVE-2026-0300 exige ação imediata

As características descritas no alerta são exatamente as que costumam ir para o topo da fila de resposta: vetor de ataque pela rede, baixa complexidade, sem necessidade de privilégios, sem interação do usuário, sem requisitos adicionais de ataque e com exploração automatizável ^[10].

A Unit 42, equipe de inteligência de ameaças da Palo Alto, afirma ter conhecimento de exploração limitada e acompanha um agrupamento de atividade provavelmente patrocinado por Estado explorando a falha ^[15]. O Centro Canadense de Segurança Cibernética também informou que a Palo Alto recebeu relatos de exploração ativa e que a CISA, agência de segurança cibernética dos Estados Unidos, adicionou a CVE-2026-0300 ao catálogo Known Exploited Vulnerabilities, o KEV, em 6 de maio de 2026 ^[9].

Exploração limitada não significa risco baixo. O Center for Internet Security afirma que os ataques observados miraram portais User-ID Authentication Portal expostos a endereços IP não confiáveis ou à internet pública, enquanto clientes que restringem portais sensíveis a redes internas confiáveis estão em risco muito menor ^[26]. A Unit 42 também diz que o risco de RCE sem autenticação aumenta significativamente quando o portal fica exposto à internet pública ou a redes não confiáveis ^[27].

Quais ambientes devem ser triados primeiro

Comece por firewalls Palo Alto Networks PA-Series e VM-Series executando PAN-OS com o User-ID Authentication Portal/Captive Portal habilitado ^[15][18]. Relatos públicos sobre a pontuação da Palo Alto indicam CVSS 9,3 quando o portal permite acesso pela internet ou por rede não confiável, caindo para 8,7 quando o acesso é limitado a endereços IP internos confiáveis ^[7].

Essa redução de severidade não é uma correção. Sistemas restritos apenas internamente continuam precisando seguir o caminho de atualização recomendado pelo fornecedor ^[1][10].

A Unit 42 informa que Prisma Access, Cloud NGFW e appliances Panorama não são afetados por essa vulnerabilidade ^[27]. Isso ajuda a focar a triagem, mas não substitui uma auditoria completa dos firewalls PA-Series e VM-Series, principalmente em ambientes onde o Captive Portal já ficou exposto a IPs não confiáveis ^[26][27].

Plano de ação para administradores de PAN-OS

1. Localize todos os portais User-ID Authentication Portal

Faça um inventário dos firewalls PAN-OS e identifique quais dispositivos PA-Series e VM-Series têm o User-ID Authentication Portal, ou Captive Portal, habilitado ^[15][18]. Para cada um, registre se o portal é acessível pela internet, por alguma rede não confiável ou apenas por faixas internas confiáveis.

Trate qualquer acesso público ou não confiável como prioridade máxima, porque é nesse cenário que os alertas descrevem risco elevado de exploração ^[26][27].

2. Restrinja ou desative o portal agora

Restrinja o User-ID Authentication Portal para redes internas confiáveis. Se isso não puder ser feito com segurança, desative o acesso ao portal até que o dispositivo seja remediado.

A Cyber Security Agency de Singapura orienta usuários e administradores de versões afetadas a restringir ou desabilitar o acesso ao portal até que atualizações de segurança estejam disponíveis ^[18].

3. Aplique correções com base no alerta da Palo Alto

O CERT-EU recomenda atualizar appliances afetados assim que os patches estiverem disponíveis, mantendo workarounds e mitigações enquanto isso ^[1]. Use o advisory da Palo Alto Networks sobre a CVE-2026-0300 como fonte autoritativa para saber quais versões do PAN-OS são afetadas e quais versões corrigidas se aplicam ao seu branch ^[10].

Evite copiar tabelas de versões de terceiros como referência final. Em incidentes desse tipo, a orientação do fornecedor pode mudar conforme novos builds e correções são publicados.

4. Depois do patch, valide a exposição

Não presuma que a atualização de software, sozinha, resolve o risco de implantação. Após aplicar a correção, confirme que o User-ID Authentication Portal não está acessível pela internet pública nem por redes não confiáveis, a menos que exista uma exigência de negócio documentada e controles compensatórios definidos.

Restringir portais sensíveis a redes internas confiáveis é descrito como postura de boas práticas que reduz fortemente o risco ^[26][27].

5. Investigue qualquer firewall que tenha ficado exposto

Qualquer firewall afetado cujo portal tenha ficado exposto a redes não confiáveis deve passar por avaliação de comprometimento antes de voltar ao nível normal de confiança. Preserve logs, revise tráfego direcionado ao portal, procure alterações inesperadas de configuração e verifique sinais de atividade pós-exploração.

O motivo é simples: a exploração bem-sucedida pode dar ao invasor execução de código sem autenticação com privilégios de root no firewall ^[10][15][18].

Órgãos federais dos EUA: trate como emergência KEV

Para equipes federais dos Estados Unidos cobertas pelos processos da CISA, a CVE-2026-0300 não é apenas um advisory de fornecedor. O Centro Canadense de Segurança Cibernética informa que a CISA adicionou a vulnerabilidade ao catálogo KEV em 6 de maio de 2026 ^[9], e relatos atuais indicam que agências federais são direcionadas a remediar vulnerabilidades listadas no KEV conforme a diretiva BOD 22-01 ^[16].

Essas equipes devem manter trilha de evidências para descoberta de ativos, restrição ou desativação do portal, status de patch, validação da versão corrigida do PAN-OS, comprovação de que não resta caminho de rede não confiável e avaliação de comprometimento para qualquer firewall exposto.

Para organizações fora do governo dos EUA, inclusive empresas que apenas usam CISA/KEV como referência de priorização, o sinal operacional é o mesmo: vulnerabilidade crítica, explorada, alcançável pela rede e em um equipamento de segurança que costuma estar em posição privilegiada na arquitetura.

Se não for possível aplicar patch imediatamente

Mantenha as mitigações ativas até que a versão corrigida adequada esteja disponível e instalada no ambiente afetado. Se o negócio não puder tolerar a desativação do Captive Portal, limite o acesso a faixas internas confiáveis e monitore de perto.

Se não for possível corrigir nem restringir com confiança, isole o firewall de acessos não confiáveis ou remova o serviço exposto até concluir a remediação. O risco residual é sério: a falha é alcançável pela rede, não exige autenticação, é automatizável e já teve exploração relatada ^[9][10][18].

Erros que podem custar caro

• Não espere a próxima manutenção programada se o portal estiver exposto à internet ou a uma rede não confiável; essa é a configuração de maior risco descrita nos alertas disponíveis ^[26][27].
• Não trate restrição a redes internas como correção definitiva. Ela reduz o risco, mas dispositivos afetados ainda precisam seguir o caminho de atualização do PAN-OS ^[1][7].
• Não use listas de versões corrigidas publicadas por terceiros como fonte final. Consulte o advisory da Palo Alto para o status atualizado do fornecedor ^[10].
• Não pare no patch se o firewall ficou exposto durante o período de exploração. Faça revisão de comprometimento, porque a falha pode permitir execução de código com privilégios de root ^[10][15][18].

A postura mínima segura é clara: remover acesso não confiável ao User-ID Authentication Portal, seguir o advisory da Palo Alto para correção e investigar qualquer firewall exposto antes de restaurar a confiança normal no dispositivo ^[1][10][18].