CVE-2026-0300 : PAN-OS patché contre la prise root non-auth

Les faits

Palo Alto Networks confirme la disponibilité ce 13 mai 2026 des images PAN-OS correctives pour CVE-2026-0300, une vulnérabilité critique dans le service User-ID Authentication Portal, également appelé Captive Portal. Le défaut est un dépassement de tampon classique dans la phase de traitement des paquets d'authentification, qui permet à un attaquant non authentifié d'exécuter du code arbitraire avec les privilèges root directement sur le firewall.

Le score CVSS attribué par l'éditeur est de 9.3 lorsque le portail est exposé à des adresses IP non fiables, typiquement Internet, et descend à 8.7 si l'accès est restreint à des zones internes. Le périmètre touché concerne exclusivement les firewalls physiques PA-Series et les instances virtuelles VM-Series ayant explicitement activé User-ID Authentication Portal. Les passerelles Prisma Access, les firewalls Cloud NGFW et les consoles Panorama ne sont pas affectés selon l'advisory officiel du vendor.

L'agence américaine CISA a ajouté la CVE à son catalogue des Known Exploited Vulnerabilities dès le 6 mai 2026, signalant des exploitations limitées mais confirmées dans la nature. Les agences fédérales civiles avaient ordre d'appliquer les mitigations sous trois jours, soit le 9 mai au plus tard, en attendant un patch officiel. Des rapports indépendants publiés par Wiz, Rapid7 et Arctic Wolf décrivent un schéma d'attaque consistant à envoyer des paquets HTTPS forgés vers l'endpoint du portail captif, ce qui suffit à déclencher la corruption mémoire et à obtenir un shell root.

L'historique de cette famille de vulnérabilités sur PAN-OS est lourd. En 2024 et 2025 déjà, plusieurs failles dans GlobalProtect et dans la WebUI de gestion avaient permis des prises de contrôle similaires, exploitées par des groupes alignés sur des États-nations selon les attributions publiées par Unit 42. Cette nouvelle CVE relance la question du durcissement des interfaces d'administration exposées sur les firewalls périmétriques, un sujet que CERT-FR et ANSSI rappellent dans chaque bulletin d'alerte.

Selon les estimations partagées par Shadowserver Foundation au lendemain de l'inscription KEV, environ 23 000 instances PAN-OS exposaient publiquement leur User-ID Authentication Portal le 7 mai, dont près de 1 800 en France. Une portion significative de ces instances exécutait des versions de PAN-OS dont la fin de support commercial était déjà annoncée, ce qui complique la fenêtre de patching pour les organisations concernées.

Les premiers IoC publiés par les éditeurs de threat intelligence pointent vers des adresses IP situées en Asie du Sud-Est et en Europe de l'Est, avec un comportement caractéristique de scanning massif suivi d'exploitation ciblée. Les attaquants déploient typiquement un implant en mémoire qui survit aux rechargements de configuration mais pas aux redémarrages complets de l'appareil, ce qui complique la détection par les équipes SOC habituées à ne pas redémarrer un firewall en production.

Palo Alto Networks recommande l'installation immédiate de la version corrective pour la branche en service, avec des correctifs distincts annoncés pour PAN-OS 10.2, 11.0, 11.1 et 11.2. Une mise à jour complémentaire est attendue autour du 28 mai 2026 pour couvrir des cas de figure plus exotiques liés aux déploiements HA actif-actif. Le vendor précise que la désactivation du User-ID Authentication Portal reste une mitigation acceptable pour les organisations qui ne dépendent pas de cette fonctionnalité pour leur stratégie de NAC.

Pour les RSSI français, la question immédiate concerne l'inventaire des firewalls exposant le portail captif sur Internet. Une simple requête Shodan sur le port 443 et la signature du Captive Portal donne un ordre de grandeur en quelques minutes. La consigne du CERT-FR en pareil cas est claire : restreindre l'accès au portail aux seules adresses IP de confiance, désactiver la fonctionnalité si elle est inutile, et planifier l'application du patch dans la fenêtre de maintenance la plus proche.

Impact et exposition

L'exposition concerne toute organisation utilisant un firewall PA-Series ou VM-Series avec User-ID Authentication Portal activé et joignable depuis un réseau non maîtrisé. La conséquence directe d'une exploitation réussie est la prise de contrôle root du firewall périmétrique, ce qui ouvre la voie à l'interception ou à la modification du trafic, à la création de tunnels de persistance, et à un pivot complet vers le réseau interne. Dans un contexte de pentest interne mené en avril chez un industriel de la mécanique, j'ai personnellement constaté qu'un Captive Portal mal configuré donnait à terme un accès complet au LDAP corporate via les sessions User-ID.

Recommandations

• Appliquer la version corrective publiée le 13 mai 2026 sur toute la flotte PAN-OS, en commençant par les firewalls périmétriques exposés à Internet.
• Désactiver User-ID Authentication Portal si la fonctionnalité n'est pas requise pour la stratégie d'authentification.
• Restreindre l'accès au portail captif via une règle de filtrage explicite aux seules zones de confiance.
• Auditer les logs de session des deux dernières semaines à la recherche de connexions root inhabituelles ou de modifications de configuration non documentées.
• Vérifier l'inventaire CISA KEV et confirmer que la conformité à l'échéance du 9 mai a été tracée dans le SMSI.