CVE-2026-0257 : bypass auth PAN-OS GlobalProtect, exploitation active, CISA KEV

Les faits

Le 13 mai 2026, Palo Alto Networks a publié l'avis PAN-SA-2026-0257 concernant la CVE-2026-0257, une vulnérabilité de contournement d'authentification (CWE-287, CVSS 9.1) affectant PAN-OS et Prisma Access GlobalProtect Portal et Gateway. Initialement classifiée comme risque moyen lors de sa découverte interne, elle a été requalifiée en critique dès la confirmation d'une exploitation active dans la nature — un délai de huit jours seulement entre la divulgation publique et la weaponisation opérationnelle.

Le mécanisme d'exploitation est précis et d'une efficacité redoutable. La faille réside dans le binaire /usr/local/bin/gpsvc, cœur du service GlobalProtect. Lorsque la fonctionnalité Authentication Override partage le même certificat HTTPS que le portail, le mécanisme de déchiffrement du cookie d'authentification omet toute vérification de signature post-déchiffrement. Un attaquant qui récupère la clé publique exposée via le certificat HTTPS du portail — information accessible sans authentification depuis Internet — peut forger un cookie d'authentification syntaxiquement valide. Le service GlobalProtect accepte ce cookie forgé, accorde une session VPN complète et assigne une adresse IP interne à l'attaquant.

Les équipes MDR de Rapid7 ont documenté deux vagues d'exploitation distinctes. La première a été observée dans la seconde quinzaine de mai 2026. Une seconde vague, plus intense et coordonnée, a été confirmée le 21 mai 2026. Les preuves sont sans équivoque : des adresses IP VPN ont été attribuées à des sessions dont les cookies d'authentification avaient été entièrement forgés, attestant d'un accès effectif aux réseaux internes des organisations ciblées. Le 29 mai 2026, la CISA a inscrit CVE-2026-0257 au catalogue KEV (Known Exploited Vulnerabilities) avec un délai de remédiation de 72 heures pour les agences fédérales américaines, fixant la deadline au 1er juin 2026.

La dangerosité de cette vulnérabilité s'explique par la convergence de plusieurs facteurs aggravants. Premier facteur : GlobalProtect est l'une des solutions VPN d'entreprise les plus déployées au monde, particulièrement dans les secteurs financier, industriel, de la santé et des administrations publiques. Deuxième facteur : la configuration vulnérable — partage du certificat HTTPS avec l'override d'authentification — peut exister par défaut ou résulter d'une pratique d'administration non documentée, sans que l'équipe de sécurité en soit consciente. Troisième facteur, décisif : l'exploitation ne requiert aucun credential, aucune reconnaissance interne préalable ni aucun accès physique — une simple requête HTTP depuis Internet suffit à déclencher l'attaque.

D'un point de vue opérationnel, la compromission d'un portail GlobalProtect constitue le scénario d'accès initial idéal pour tout groupe APT ou opérateur ransomware. Une fois le cookie forgé accepté, l'attaquant dispose d'une adresse IP VPN assignée par les systèmes de la cible, lui permettant de naviguer sur le réseau interne comme un employé en télétravail. Cette légitimité apparente complexifie considérablement la détection : les SIEM, les outils NDR et les journaux de connexion voient du trafic VPN standard depuis une session authentifiée, indiscernable d'une connexion normale sans analyse forensique approfondie des cookies d'authentification.

Cette CVE s'inscrit dans une tendance structurelle documentée depuis 2024 : les groupes APT étatiques et les opérateurs ransomware ciblent prioritairement les équipements de périmètre réseau exposés sur Internet. FortiGate (CVE-2024-55591), Ivanti Connect Secure, Cisco ASA, SonicWall — la liste des équipements VPN et pare-feu massivement exploités ces dix-huit derniers mois est longue. CVE-2026-0257 ajoute une nouvelle entrée à ce palmarès. La rapidité de weaponisation — huit jours — illustre l'efficacité croissante des processus offensifs : des acteurs capables d'analyser un avis de sécurité et de produire un exploit fonctionnel en moins d'une semaine, qu'il s'agisse d'équipes humaines spécialisées ou d'agents IA automatisant l'analyse de vulnérabilité.

Palo Alto Networks a publié deux mesures de mitigation dans l'avis PAN-SA-2026-0257. La première option : désactiver intégralement la fonctionnalité Authentication Override. La seconde, qui préserve la fonctionnalité tout en éliminant le vecteur d'exploitation : générer un certificat auto-signé dédié exclusivement à l'Authentication Override, totalement distinct du certificat HTTPS du service GlobalProtect. Les administrateurs doivent auditer chaque portail et chaque gateway de leur parc — la configuration peut varier d'une instance à l'autre.

La surface d'exposition est massive. Des dizaines de milliers de portails GlobalProtect sont directement accessibles depuis Internet, avec une concentration significative en Europe et en France. Les secteurs les plus exposés : entreprises mid-market et grandes organisations ayant déployé GlobalProtect comme solution principale d'accès distant, cabinets d'avocats et d'audit, établissements de santé, collectivités territoriales, PME sous-traitantes de donneurs d'ordre industriels ou défense. La fenêtre d'exploitation est ouverte depuis le 21 mai 2026 et des acteurs malveillants en tirent activement profit. Chaque heure sans vérification de la configuration représente un risque concret de compromission.

Impact et exposition

Toute organisation déployant PAN-OS avec GlobalProtect dans une configuration de certificat partagé est potentiellement compromise. L'exploitation est non authentifiée, réalisable depuis Internet sans aucune connaissance préalable de l'infrastructure. La condition de vulnérabilité est détectable à distance par un attaquant en inspectant le certificat exposé par le portail. En cas d'exploitation réussie, l'attaquant accède à l'ensemble des ressources internes joignables via VPN : Active Directory, partages réseau, applications métier, systèmes SCADA et OT en zone protégée. Le risque de mouvement latéral, de vol de credentials, d'exfiltration de données et de déploiement de ransomware est maximal. Secteurs les plus critiques : industrie, santé, finance, collectivités.

Recommandations

• Vérification immédiate : Auditer la configuration des certificats de chaque portail et gateway GlobalProtect — si le certificat HTTPS est identique au certificat de l'Authentication Override, la configuration est vulnérable.
• Mitigation sans downtime : Générer un certificat auto-signé dédié dans Device > Certificate Management > Certificates > Generate et l'assigner exclusivement à l'Authentication Override.
• Patch : Appliquer les correctifs PAN-OS publiés dans l'avis PAN-SA-2026-0257 selon votre branche de version.
• Audit forensique : Analyser les journaux GlobalProtect des 3 dernières semaines — identifier les assignations VPN depuis des plages IP inhabituelles et les sessions avec des patterns d'authentification anormaux.
• Réponse incident : En cas de suspicion de compromission, isoler les sessions VPN actives, révoquer les tokens, changer les mots de passe VPN et déclencher une investigation forensique sur les segments réseau accessibles via VPN.