SEK - Security Ecosystem Knowledge

SEK SECURITY ADVISORY

Vulnerabilidade de DoS no Palo Alto Networks GlobalProtect Permite Desativação de Firewalls
15 JANEIRO | 2026
SEVERIDADE: ALTA

SEK SECURITY ADVISORY

DoS Vulnerability in Palo Alto Networks GlobalProtect Allows Firewall Disablement
JANUARY 15 | 2026
SEVERITY: HIGH

SEK SECURITY ADVISORY

Vulnerabilidad de DoS en Palo Alto Networks GlobalProtect permite desactivación de firewalls
15 ENERO | 2026
SEVERIDAD: ALTA

Overview

A Palo Alto Networks divulgou a vulnerabilidade CVE-2026-0227 (CVSS 7.7) que afeta o gateway e portal GlobalProtect em firewalls PAN-OS e Prisma Access. A falha permite que atacantes não autenticados causem negação de serviço através do envio de requisições especialmente manipuladas, resultando na reinicialização do firewall ou entrada em modo de manutenção. A exploração repetida pode indisponibilizar completamente a proteção de rede.

A vulnerabilidade é explorada através de requisições maliciosas enviadas ao gateway ou portal GlobalProtect, causando falhas de processamento que levam o firewall a reiniciar ou entrar em modo de manutenção. A exploração não requer autenticação prévia, permitindo que qualquer atacante com acesso de rede ao serviço GlobalProtect possa desencadear o ataque. O problema está relacionado a verificações inadequadas de condições incomuns ou excepcionais no processamento de requisições. Segundo a Palo Alto Networks, existe prova de conceito (PoC) para esta vulnerabilidade, aumentando o risco de exploração.

O impacto é significativo para organizações que dependem de VPN GlobalProtect para acesso remoto e proteção de perímetro de rede. A Palo Alto Networks já disponibilizou correções em múltiplas versões do PAN-OS (12.1, 11.2, 11.1, 10.2, 10.1) e atualizou a maioria dos clientes Prisma Access. A empresa não tem conhecimento de exploração maliciosa ativa, mas a existência de PoC torna a aplicação de patches urgente. Organizações devem priorizar a atualização imediata, especialmente para serviços GlobalProtect expostos à internet.

Produtos Afetados

CVE Severidade Produto Afetado
CVE-2026-0227 Alta PAN-OS 12.1 versões anteriores a 12.1.3-h3 e 12.1.4, PAN-OS 11.2 versões anteriores a 11.2.4-h15, 11.2.7-h8 e 11.2.10-h2, PAN-OS 11.1 versões anteriores a 11.1.4-h27, 11.1.6-h23, 11.1.10-h9 e 11.1.13, PAN-OS 10.2 versões anteriores a 10.2.7-h32, 10.2.10-h30, 10.2.13-h18, 10.2.16-h6 e 10.2.18-h1, PAN-OS 10.1 versões anteriores a 10.1.14-h20, Prisma Access 11.2 versões anteriores a 11.2.7-h8, Prisma Access 10.2 versões anteriores a 10.2.10-h29

Nota: Apenas firewalls PAN-OS ou Prisma Access com gateway ou portal GlobalProtect configurado e ativo são vulneráveis. Cloud NGFW não é afetado por esta vulnerabilidade.

Recomendações

  • Atualizar imediatamente firewalls PAN-OS para versões corrigidas conforme a versão em uso: 12.1.4 ou 12.1.3-h3 (para 12.1.x), 11.2.10-h2, 11.2.7-h8 ou 11.2.4-h15 (para 11.2.x), 11.1.13, 11.1.10-h9, 11.1.6-h23 ou 11.1.4-h27 (para 11.1.x), 10.2.18-h1, 10.2.16-h6, 10.2.13-h18, 10.2.10-h30 ou 10.2.7-h32 (para 10.2.x), 10.1.14-h20 (para 10.1.x)
  • Verificar status de atualização de instâncias Prisma Access, pois a maioria já foi atualizada pela Palo Alto Networks para as versões corrigidas 11.2.7-h8 ou 10.2.10-h29
  • Implementar regras de firewall para limitar acesso ao gateway e portal GlobalProtect apenas a redes e endereços IP confiáveis até que patches possam ser aplicados
  • Monitorar logs de sistema para identificar tentativas de exploração através de padrões anormais de requisições ao GlobalProtect ou reinicializações inesperadas de firewalls
  • Configurar alertas para indisponibilidade de serviços GlobalProtect e entrada em modo de manutenção não programada
  • Priorizar aplicação de patches em dispositivos com GlobalProtect exposto à internet devido à disponibilidade de prova de conceito e baixa complexidade de exploração
  • Revisar exposição de serviços GlobalProtect à internet pública e avaliar implementação de controles adicionais de acesso em camadas

Fontes

Overview

Palo Alto Networks disclosed vulnerability CVE-2026-0227 (CVSS 7.7) affecting the GlobalProtect gateway and portal in PAN-OS firewalls and Prisma Access. The flaw allows unauthenticated attackers to cause denial of service by sending specially crafted requests, resulting in firewall reboot or entry into maintenance mode. Repeated exploitation can completely disable network protection.

The vulnerability is exploited through malicious requests sent to the GlobalProtect gateway or portal, causing processing failures that lead the firewall to restart or enter maintenance mode. Exploitation does not require prior authentication, allowing any attacker with network access to the GlobalProtect service to trigger the attack. The issue is related to improper checking for unusual or exceptional conditions in request processing. According to Palo Alto Networks, proof of concept (PoC) exists for this vulnerability, increasing the risk of exploitation.

The impact is significant for organizations that rely on GlobalProtect VPN for remote access and network perimeter protection. Palo Alto Networks has already released fixes across multiple PAN-OS versions (12.1, 11.2, 11.1, 10.2, 10.1) and updated most Prisma Access customers. The company is not aware of active malicious exploitation, but the existence of PoC makes patch application urgent. Organizations should prioritize immediate updates, especially for internet-exposed GlobalProtect services.

Affected Products

CVE Severity Affected Product
CVE-2026-0227 High PAN-OS 12.1 versions prior to 12.1.3-h3 and 12.1.4, PAN-OS 11.2 versions prior to 11.2.4-h15, 11.2.7-h8 and 11.2.10-h2, PAN-OS 11.1 versions prior to 11.1.4-h27, 11.1.6-h23, 11.1.10-h9 and 11.1.13, PAN-OS 10.2 versions prior to 10.2.7-h32, 10.2.10-h30, 10.2.13-h18, 10.2.16-h6 and 10.2.18-h1, PAN-OS 10.1 versions prior to 10.1.14-h20, Prisma Access 11.2 versions prior to 11.2.7-h8, Prisma Access 10.2 versions prior to 10.2.10-h29

Note: Only PAN-OS firewalls or Prisma Access with configured and active GlobalProtect gateway or portal are vulnerable. Cloud NGFW is not affected by this vulnerability.

Recommendations

  • Immediately update PAN-OS firewalls to fixed versions according to version in use: 12.1.4 or 12.1.3-h3 (for 12.1.x), 11.2.10-h2, 11.2.7-h8 or 11.2.4-h15 (for 11.2.x), 11.1.13, 11.1.10-h9, 11.1.6-h23 or 11.1.4-h27 (for 11.1.x), 10.2.18-h1, 10.2.16-h6, 10.2.13-h18, 10.2.10-h30 or 10.2.7-h32 (for 10.2.x), 10.1.14-h20 (for 10.1.x)
  • Verify update status of Prisma Access instances, as most have already been updated by Palo Alto Networks to fixed versions 11.2.7-h8 or 10.2.10-h29
  • Implement firewall rules to restrict access to GlobalProtect gateway and portal only to trusted networks and IP addresses until patches can be applied
  • Monitor system logs to identify exploitation attempts through abnormal request patterns to GlobalProtect or unexpected firewall reboots
  • Configure alerts for GlobalProtect service unavailability and unscheduled maintenance mode entry
  • Prioritize patch application on devices with internet-exposed GlobalProtect due to proof of concept availability and low exploitation complexity
  • Review exposure of GlobalProtect services to the public internet and evaluate implementation of additional layered access controls

Sources

Overview

Palo Alto Networks divulgó la vulnerabilidad CVE-2026-0227 (CVSS 7.7) que afecta el gateway y portal GlobalProtect en firewalls PAN-OS y Prisma Access. La falla permite que atacantes no autenticados causen denegación de servicio mediante el envío de solicitudes especialmente manipuladas, resultando en el reinicio del firewall o entrada en modo de mantenimiento. La explotación repetida puede deshabilitar completamente la protección de red.

La vulnerabilidad se explota mediante solicitudes maliciosas enviadas al gateway o portal GlobalProtect, causando fallas de procesamiento que llevan al firewall a reiniciarse o entrar en modo de mantenimiento. La explotación no requiere autenticación previa, permitiendo que cualquier atacante con acceso de red al servicio GlobalProtect pueda desencadenar el ataque. El problema está relacionado con verificaciones inadecuadas de condiciones inusuales o excepcionales en el procesamiento de solicitudes. Según Palo Alto Networks, existe prueba de concepto (PoC) para esta vulnerabilidad, aumentando el riesgo de explotación.

El impacto es significativo para organizaciones que dependen de VPN GlobalProtect para acceso remoto y protección de perímetro de red. Palo Alto Networks ya ha lanzado correcciones en múltiples versiones de PAN-OS (12.1, 11.2, 11.1, 10.2, 10.1) y actualizó la mayoría de los clientes de Prisma Access. La empresa no tiene conocimiento de explotación maliciosa activa, pero la existencia de PoC hace urgente la aplicación de parches. Las organizaciones deben priorizar la actualización inmediata, especialmente para servicios GlobalProtect expuestos a internet.

Productos Afectados

CVE Severidad Producto Afectado
CVE-2026-0227 Alta PAN-OS 12.1 versiones anteriores a 12.1.3-h3 y 12.1.4, PAN-OS 11.2 versiones anteriores a 11.2.4-h15, 11.2.7-h8 y 11.2.10-h2, PAN-OS 11.1 versiones anteriores a 11.1.4-h27, 11.1.6-h23, 11.1.10-h9 y 11.1.13, PAN-OS 10.2 versiones anteriores a 10.2.7-h32, 10.2.10-h30, 10.2.13-h18, 10.2.16-h6 y 10.2.18-h1, PAN-OS 10.1 versiones anteriores a 10.1.14-h20, Prisma Access 11.2 versiones anteriores a 11.2.7-h8, Prisma Access 10.2 versiones anteriores a 10.2.10-h29

Nota: Solo firewalls PAN-OS o Prisma Access con gateway o portal GlobalProtect configurado y activo son vulnerables. Cloud NGFW no está afectado por esta vulnerabilidad.

Recomendaciones

  • Actualizar inmediatamente firewalls PAN-OS a versiones corregidas según la versión en uso: 12.1.4 o 12.1.3-h3 (para 12.1.x), 11.2.10-h2, 11.2.7-h8 o 11.2.4-h15 (para 11.2.x), 11.1.13, 11.1.10-h9, 11.1.6-h23 o 11.1.4-h27 (para 11.1.x), 10.2.18-h1, 10.2.16-h6, 10.2.13-h18, 10.2.10-h30 o 10.2.7-h32 (para 10.2.x), 10.1.14-h20 (para 10.1.x)
  • Verificar estado de actualización de instancias Prisma Access, ya que la mayoría ya han sido actualizadas por Palo Alto Networks a las versiones corregidas 11.2.7-h8 o 10.2.10-h29
  • Implementar reglas de firewall para limitar acceso al gateway y portal GlobalProtect solo a redes y direcciones IP confiables hasta que se puedan aplicar parches
  • Monitorear logs del sistema para identificar intentos de explotación mediante patrones anormales de solicitudes a GlobalProtect o reinicios inesperados de firewalls
  • Configurar alertas para indisponibilidad de servicios GlobalProtect y entrada en modo de mantenimiento no programado
  • Priorizar aplicación de parches en dispositivos con GlobalProtect expuesto a internet debido a la disponibilidad de prueba de concepto y baja complejidad de explotación
  • Revisar exposición de servicios GlobalProtect a internet pública y evaluar implementación de controles adicionales de acceso en capas

Fuentes

Central de Conteúdos SEK

Acesse nossa central de conteúdos e confira os mais recentes relatórios e notícias sobre cibersegurança.

Acessar Central de Conteúdos

SEK Content Hub

Access our content hub and check out the latest reports and news on cybersecurity.

Access Content Hub

Central de Contenidos SEK

Accede a nuestra central de contenidos y consulta los informes y noticias más recientes sobre ciberseguridad.

Acceder a la Central de Contenidos