# GlobalProtect > VPN / Remote Access · Vendor: [[_palo-alto-networks|Palo Alto Networks]] ## Visão Geral **GlobalProtect** é a solução de VPN corporativa da Palo Alto Networks, integrada ao [[pan-os]] e amplamente utilizada para acesso remoto seguro a redes empresariais. A plataforma suporta autenticação multifator, inspeção de tráfego e controle de acesso baseado em identidade. Em 2024, o GlobalProtect tornou-se o vetor direto da [[cve-2024-3400|CVE-2024-3400]], uma das vulnerabilidades mais críticas do ano, explorada como zero-day antes da divulgação pública. **Dados do produto:** - Categoria: VPN / Acesso Remoto - Vendor: [[_palo-alto-networks|Palo Alto Networks]] - Versão atual: - - Presença no Brasil/LATAM: Alta - adotado amplamente em empresas que utilizam firewalls PAN-OS ## Vulnerabilidades Conhecidas <!-- Static table for Obsidian Publish (updated by pipeline) --> | CVE | CVSS | Exploração | Patch | Data | |-----|------|------------|-------|------| | [[cve-2024-3400\|CVE-2024-3400]] | 10.0 | Injeção de comando via cookie SESSID (zero-day) | Sim | 2024-04 | %% ```dataview TABLE WITHOUT ID link(file.link, title) AS "Nota", cve-id AS "CVE", cvss-score AS "CVSS", exploit-type AS "Exploração", patch-daté AS "Patch" FROM "vulnerabilities" WHERE contains(product, "GlobalProtect") SORT patch-daté DESC ``` %% ## Uso por Atores de Ameaça O [[uta0218]] explorou a funcionalidade de gateway do GlobalProtect para injetar comandos no sistema operacional subjacente [[pan-os]] por meio da manipulação do cookie de sessão `SESSID`. A exploração permitia execução remota de código sem autenticação, classificando a vulnerabilidade com CVSS 10.0. O grupo utilizou esse acesso para implantar o backdoor UPSTYLE, mantendo persistência nos dispositivos comprometidos durante a campanha [[operation-midnighteclipse|Operation MidnightEclipse]]. A natureza do vetor - um componente de VPN exposto à internet - amplificou o impacto, já que dispositivos GlobalProtect geralmente são acessíveis externamente por design. > [!latam] Relevância para Brasil e LATAM > O GlobalProtect é adotado em grandes corporações e órgãos do governo federal brasileiro que utilizam PAN-OS como firewall perimetral. A CVE-2024-3400 (CVSS 10.0) explorada como zero-day é um exemplo de como endpoints VPN expostos à internet representam superfície crítica de ataque para organizações da região. ## Notas Relacionadas **Vendor:** [[_palo-alto-networks|Palo Alto Networks]] **CVEs:** [[cve-2024-3400|CVE-2024-3400]] **Campanhas:** [[operation-midnighteclipse|Operation MidnightEclipse]] **Atores:** [[uta0218]] **Produtos relacionados:** [[pan-os]] · [[panorama]] **Técnicas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1133-external-remote-services|T1133 - External Remote Services]] · [[t1505-003-web-shell|T1505.003 - Web Shell]] **Setores:** [[government]] · [[financial]] · [[critical-infrastructure|infraestrutura crítica]]