CVE-2026-0257 : bypass auth GlobalProtect PAN-OS, KEV CISA

Les faits

Le 30 mai 2026, Palo Alto Networks a officiellement confirmé l'exploitation active de la CVE-2026-0257, une vulnérabilité critique de contournement d'authentification affectant le composant GlobalProtect de son système d'exploitation PAN-OS. Cotée CVSS v3.1 à 9.1 sur 10 (Critical), cette faille permet à un attaquant non authentifié d'établir des connexions VPN frauduleuses en contournant intégralement les mécanismes de contrôle d'accès du portail ou de la passerelle GlobalProtect, sans présenter aucune credential valide.

Le vecteur CVSS détaillé est : AV:N (réseau), AC:L (complexité faible), PR:N (aucun privilège requis), UI:N (aucune interaction utilisateur), S:C (scope modifié), C:H/I:H/A:N. Cette combinaison — réseau, complexité nulle, zéro privilège — classe CVE-2026-0257 parmi les vulnérabilités les plus immédiatement exploitables. Le seul vecteur atténuant est l'absence d'impact direct sur la disponibilité, mais l'impact combiné sur la confidentialité et l'intégrité suffit à justifier une réponse d'urgence.

Techniquement, la vulnérabilité réside dans la gestion des cookies d'authentification override (authentication override cookies), une fonctionnalité de GlobalProtect permettant aux sessions précédemment authentifiées d'être reconnues sans re-validation des credentials. En forgeant des requêtes HTTP spécifiques adressées à l'interface du portail ou de la passerelle GlobalProtect, un attaquant peut abuser du mécanisme de vérification de ces cookies pour faire croire au système que la session requérante est déjà authentifiée. Aucun nom d'utilisateur, aucun mot de passe, aucun certificat client ne sont nécessaires. La condition d'activation de la vulnérabilité requiert que les cookies d'override soient activés conjointement avec une configuration de certificat spécifique, laquelle est néanmoins très répandue dans les déploiements d'entreprise selon les analyses de Rapid7 MDR.

La découverte de l'exploitation active a été réalisée par les équipes Rapid7 Managed Detection and Response (MDR), qui ont identifié les premières compromissions le 17 mai 2026. Une première vague d'attaques a été observée depuis de l'infrastructure hébergée chez le fournisseur cloud Vultr. Une seconde vague, techniquement distincte dans ses TTPs (Tactics, Techniques, Procedures), a été documentée le 21 mai 2026 avec des origines traçables vers Dromatics Systems. Les deux campagnes montrent un ciblage systématique et automatisé des passerelles GlobalProtect exposées sur Internet, suggérant l'utilisation d'outils de reconnaissance comme Shodan pour identifier les instances vulnérables à l'échelle mondiale.

La CISA (Cybersecurity and Infrastructure Security Agency) des États-Unis a officiellement intégré CVE-2026-0257 à son catalogue Known Exploited Vulnerabilities (KEV) le 29 mai 2026. En vertu de la Binding Operational Directive 22-01, les agences civiles fédérales américaines ont jusqu'au 19 juin 2026 pour appliquer les correctifs disponibles. Cette inscription au KEV constitue une reconnaissance officielle de l'exploitation in-the-wild et représente également un signal fort pour le secteur privé : les organisations disposant de PAN-OS doivent traiter ce patch comme une priorité absolue.

L'advisory officiel de Palo Alto Networks, référencé PAN-SA-2026-0257, documente les versions affectées de PAN-OS et les versions corrigées pour chaque branche maintenue. L'advisory précise que les configurations sans cookies d'override activés ne sont pas directement exposées à cette exploitation particulière. Cependant, Palo Alto recommande l'application du patch de manière préventive et inconditionnelle, des variantes d'exploitation ciblant d'autres aspects de la stack GlobalProtect n'étant pas exclues. Les firewalls PAN-OS en mode Panorama sont également concernés si GlobalProtect est géré via Panorama.

GlobalProtect est l'une des solutions VPN d'accès distant les plus déployées dans les environnements d'entreprise mondiaux. Les données de Shodan, citées par The Hacker News et Rapid7, indiquent que plusieurs centaines de milliers d'instances GlobalProtect sont directement accessibles depuis Internet. Une proportion significative de ces instances présente des versions non patchées. Les secteurs les plus représentés incluent la finance, la santé, les télécommunications et les administrations publiques, qui utilisent PAN-OS comme composant central de leur architecture de sécurité périmétrique.

L'analyse forensique de Rapid7 sur les incidents observés révèle que les attaquants ayant exploité CVE-2026-0257 ont principalement cherché à établir des connexions VPN persistantes dans les réseaux cibles. Une fois connectés comme utilisateurs VPN apparemment légitimes, ils ont conduit des phases de reconnaissance réseau interne et tenté du mouvement latéral vers les segments habituellement protégés par le firewall PAN-OS. Des connexions depuis des plages IP Vultr et Dromatics Systems non associées à des utilisateurs légitimes, suivies de scans de ports internes, constituent les principaux marqueurs de compromission documentés. Aucun groupe d'attaquants spécifique n'a été formellement attribué à ces campagnes, bien que le ciblage massif et automatisé évoque des acteurs à motivation financière ou étatique.

Impact et exposition

Toute organisation déployant Palo Alto Networks PAN-OS avec GlobalProtect configuré en mode portail ou passerelle est potentiellement exposée si les cookies d'authentification override sont activés. Cette condition concerne la majorité des déploiements d'entreprise à large échelle. Les environnements avec authentification multi-facteurs (MFA) bénéficient d'une protection partielle, mais la vulnérabilité agit en amont du processus MFA et peut le contourner dans certaines configurations.

L'exploitation confirmée depuis le 17 mai 2026 signifie que les organisations non encore patchées peuvent avoir été compromises pendant plus de deux semaines. Les attaquants ayant établi des sessions VPN frauduleuses disposent potentiellement d'un accès aux ressources réseau internes — serveurs applicatifs, partages de fichiers, bases de données, consoles d'administration — selon la segmentation en place.

Les PME utilisant PAN-OS sans contrat de support actif risquent de ne pas avoir reçu de notification directe. Les environnements sans SIEM actif ou sans surveillance des journaux d'authentification VPN présentent le risque le plus élevé, car la compromission peut passer inaperçue pendant des semaines. La surface d'attaque globale est considérable : plusieurs centaines de milliers d'instances exposées sur Internet, ciblées par des campagnes automatisées documentées.

Recommandations immédiates

• Appliquer immédiatement le correctif PAN-OS — Palo Alto Networks Security Advisory PAN-SA-2026-0257 — disponible pour toutes les branches maintenues
• Si le patch ne peut pas être déployé immédiatement : désactiver les authentication override cookies dans la configuration GlobalProtect, ou régénérer les certificats dédiés à cette fonction
• Auditer les journaux d'accès GlobalProtect depuis le 17 mai 2026 : rechercher des connexions depuis des IP inconnues, des heures inhabituelles, ou des sessions sans activité cohérente avec un utilisateur légitime
• Indicateurs de compromission (IOC) : connexions depuis les plages IP Vultr documentées par Rapid7 MDR, sessions VPN avec user-agent anormal ou absent, connexions VPN suivies de scans de ports internes dans les 5 minutes
• Activer les alertes SIEM sur les nouvelles connexions VPN GlobalProtect et corréler avec les flux de threat intelligence CISA KEV