CVE-2026-0300 : zero-day PAN-OS exploité par un groupe étatique (CVSS 9.3)

22 mai 2026

•

Mis à jour le 22 mai 2026

•

5 min de lecture

•

1220 mots

•

15 vues

•

Palo Alto Networks confirme l'exploitation active de CVE-2026-0300, un buffer overflow dans le Captive Portal de PAN-OS permettant une RCE root sans authentification. CVSS 9.3, attribution provisoire au cluster étatique CL-STA-1132. Patches en déploiement échelonné jusqu'au 28 mai.

En bref

CVE-2026-0300 : buffer overflow dans le Captive Portal PAN-OS, RCE avec privilèges root sans authentification — CVSS 9.3.
Exploitation active confirmée par Palo Alto Networks dès le 6 mai 2026 — attribuée provisoirement au cluster étatique CL-STA-1132.
Patches disponibles depuis le 13 mai 2026, déploiement échelonné jusqu'au 28 mai selon la branche PAN-OS — appliquer immédiatement ou désactiver le Captive Portal si exposé.

Les faits

Le 6 mai 2026, Palo Alto Networks a publié un avis de sécurité urgent concernant CVE-2026-0300, une vulnérabilité de type buffer overflow affectant le service User-ID Authentication Portal — communément désigné Captive Portal — de PAN-OS, le système d'exploitation embarqué sur les appliances PA-Series et VM-Series du fabricant californien. Avec un CVSS de 9.3, cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire avec les privilèges root sur le pare-feu cible, à condition que le portail d'authentification soit accessible depuis un réseau non de confiance ou depuis Internet.

La gravité de la divulgation a été immédiatement amplifiée par la confirmation d'une exploitation active dans la nature. L'équipe Unit 42, la division de threat intelligence de Palo Alto Networks, a associé les attaques observées à un cluster de menaces désigné CL-STA-1132, dont les TTPs présentent des caractéristiques cohérentes avec une opération de nature étatique, sans attribution publique définitive à un État spécifique. Selon les analyses publiées par SecurityWeek et BleepingComputer le 7 mai 2026, l'infrastructure de commandement et contrôle utilisée par CL-STA-1132 avait été constituée plusieurs semaines avant la divulgation publique — suggérant une connaissance préalable de la vulnérabilité.

Sur le plan technique, CVE-2026-0300 réside dans le traitement des requêtes d'authentification par le composant User-ID Authentication Portal. Un attaquant envoie des paquets réseau spécialement construits qui provoquent un débordement de tampon dans la mémoire allouée au processus du portail. L'exploitation réussie aboutit à l'exécution de commandes shell avec les droits root sur l'appliance PAN-OS, permettant potentiellement de contourner l'intégralité des contrôles de sécurité du pare-feu, d'exfiltrer sa configuration complète — y compris les credentials, les règles de sécurité et les certificats —, et d'utiliser l'équipement comme pivot silencieux vers les réseaux internes.

Le périmètre des équipements affectés couvre toutes les appliances PA-Series (PA-220, PA-415, PA-445, PA-450, PA-455, PA-460, PA-850, PA-1400 Series, PA-3400 Series, PA-5400 Series, PA-7500 Series) et les VM-Series déployées dans des environnements cloud ou on-premises. Palo Alto Networks a expressément précisé que Prisma Access, Cloud NGFW et les appliances Panorama ne sont pas affectés par CVE-2026-0300. La condition d'exploitabilité requiert que la fonctionnalité User-ID Authentication Portal soit activée et accessible depuis des adresses IP non de confiance — configuration fréquente dans les déploiements avec portail d'authentification pour utilisateurs invités ou accès partenaires.

En l'absence de correctif immédiat, Palo Alto Networks a recommandé dès le 6 mai 2026 deux mitigations temporaires : restreindre l'accès au Captive Portal aux seules plages d'adresses IP internes de confiance via les politiques de sécurité, ou désactiver entièrement le service User-ID Authentication Portal si sa fonctionnalité n'est pas indispensable (Device > User Identification > User-ID Agent Setup). Ces recommandations ont été reprises par le NCSC britannique et plusieurs CERT nationaux européens dans les jours suivants.

Le calendrier de déploiement des correctifs officiels a été annoncé de manière échelonnée : les premières mises à jour sont devenues disponibles le 13 mai 2026 pour les branches PAN-OS 11.2 et 11.1, avec un déploiement complet prévu jusqu'au 28 mai 2026. Ce délai de 22 jours entre la divulgation publique et la disponibilité complète des correctifs a suscité des critiques dans la communauté sécurité, d'autant que l'exploitation active avait été documentée dès le jour même de l'annonce. Plusieurs RSSI ont souligné que ce calendrier étiré est incompatible avec l'urgence réelle d'une vulnérabilité CVSS 9.3 exploitée activement.

L'attribution provisoire à CL-STA-1132 s'inscrit dans un pattern plus large documenté depuis 2024 : les groupes étatiques ont systématiquement priorisé les équipements périmètriques (pare-feux, VPN concentrators, proxies inverses, contrôleurs SD-WAN) comme vecteurs initiaux d'accès, en remplacement des techniques de phishing traditionnel ciblant les endpoints utilisateurs. Cette évolution tactique reflète une adaptation aux défenses EDR modernes : un pare-feu compromis opère dans une zone pratiquement aveugle pour les outils de détection d'endpoint, tout en offrant une visibilité complète sur les flux réseau de l'organisation.

CVE-2026-0300 s'ajoute à une liste déjà longue de vulnérabilités critiques dans les équipements Palo Alto : PAN-SA-2024-0015 (GlobalProtect Gateway, CVSS 10.0, exploitée en 2024) et CVE-2025-0108 (PAN-OS Authentication Bypass, exploitée début 2025) avaient déjà mis en lumière la fragilité structurelle de cette classe d'équipements face à des adversaires déterminés. Le rapport Verizon DBIR 2026 documente par ailleurs que les vulnérabilités dans les équipements périmètriques ont dépassé le vol d'identifiants comme vecteur initial dans les intrusions attribuées à des acteurs étatiques.

Impact et exposition

Les organisations les plus exposées sont celles ayant déployé des appliances Palo Alto PA-Series ou VM-Series avec le Captive Portal accessible depuis des zones non de confiance — ce qui correspond à de nombreux déploiements avec authentification d'utilisateurs invités, portails partenaires ou zones DMZ. La criticité est maximale par nature : l'équipement compromis étant positionné en coupure réseau, un attaquant qui contrôle le pare-feu contrôle potentiellement l'intégralité du trafic entrant et sortant de l'organisation. Le risque d'exfiltration silencieuse de données et de création de tunnels persistants indétectables par les outils EDR est particulièrement élevé.

Recommandations

Appliquer immédiatement les patches PAN-OS disponibles depuis le 13 mai 2026 — vérifier la disponibilité du correctif pour votre branche spécifique sur le portail support Palo Alto Networks.
En attente de patch : restreindre l'accès au User-ID Authentication Portal aux seules plages IP internes de confiance via les politiques de sécurité de l'appliance.
Si le Captive Portal n'est pas fonctionnellement nécessaire : le désactiver immédiatement (Device > User Identification > User-ID Agent Setup).
Analyser les logs d'accès au Captive Portal depuis le 1er avril 2026 à la recherche de requêtes malformées, de sources géographiques inattendues ou d'erreurs de traitement anormales.
Vérifier l'intégrité de la configuration des appliances en comparant avec une baseline connue — une compromission réussie peut avoir modifié des politiques ou créé des règles permissives silencieuses.
Si une compromission est suspectée : isoler l'appliance du réseau et engager une réponse sur incident avec analyse forensique de la configuration et des logs système.

Alerte critique

CVE-2026-0300 est exploité activement par un groupe étatique depuis le 6 mai 2026. Tout pare-feu Palo Alto avec Captive Portal exposé à des réseaux non de confiance doit être considéré comme potentiellement compromis si les logs n'excluent pas formellement une tentative d'exploitation. Appliquer le patch ET analyser les traces d'intrusion en parallèle — l'un ne dispense pas de l'autre.

Comment vérifier en pratique si mon Captive Portal Palo Alto est exposé à CVE-2026-0300 ?

Dans le CLI de votre appliance, exécutez la commande show user-id-agent state all pour vérifier si User-ID est actif. Ensuite, identifiez si des politiques de sécurité autorisent l'accès au portail d'authentification depuis des zones non de confiance (zone untrust ou DMZ externe) en inspectant les règles permettant l'accès aux ports 80 et 443 vers la zone hébergeant le portail. Dans l'interface graphique, vérifiez sous Policies > Security si des règles source-zone untrust atteignent le Captive Portal. Si c'est le cas, appliquez la mitigation immédiatement.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit

Partager cet article

Twitter LinkedIn

À propos de l'auteur

Ayi NEDJIMI

Auditeur Senior Cybersécurité & Consultant IA

Expert Judiciaire — Cour d'Appel de Paris
Habilitation Confidentiel Défense

ayi@ayinedjimi-consultants.fr

25+

ans d'expérience

700+

articles publiés

100+

missions réalisées

Ayi NEDJIMI est un vétéran de la cybersécurité avec plus de 25 ans d'expérience sur des missions critiques. Ancien développeur Microsoft à Redmond sur le module GINA (Windows NT4) et co-auteur de la version française du guide de sécurité Windows NT4 pour la NSA.

À la tête d'Ayi NEDJIMI Consultants, il réalise des audits Lead Auditor ISO 42001 et ISO 27001, des pentests d'infrastructures critiques, du forensics et des missions de conformité NIS2 / AI Act.

Conférencier international (Europe & US), il a formé plus de 10 000 professionnels.

Domaines d'expertise

ISO 42001 Lead Auditor ISO 27001 · NIS2 Pentest & Forensics IA / LLM / RAG Cloud & Active Directory

Voir le profil complet Demander un devis

Ressources & Outils de l'auteur

GitHub

Code & projets open source

ORCID

Identifiant chercheur

Hugging Face

Modèles IA & datasets

CertifExpress

Préparez vos certifications IT

WindowsBooster

Optimisation Windows 11

Articles connexes

La CMA enquête sur Microsoft 365, Teams et Copilot

La Competition and Markets Authority (CMA) britannique a ouvert le 14 mai 2026 une enquête formelle sur Microsoft sous le nouveau régime DMCA, ciblant le groupage de Windows, M365, Teams et Copilot. L'enjeu : déterminer si Copilot verrouille l'IA d'entreprise autour de l'écosystème Microsoft.

22/05/2026

Trump reporte son décret sur la supervision préalable de l'IA

Le président Trump a annulé in extremis la signature d'un décret sur la révision pré-commercialisation des modèles d'IA le 21 mai 2026. Le désaccord sur la durée de la fenêtre — 90 jours côté gouvernement, 14 jours pour l'industrie — révèle les tensions autour de la gouvernance américaine de l'IA.

22/05/2026

Nitrogen ransomware vole 8 To chez Foxconn, Apple visé

Le groupe Nitrogen ransomware revendique l'exfiltration de 8 To de données depuis les installations nord-américaines de Foxconn, exposant des documents confidentiels d'Apple, Nvidia et Intel. AppleInsider a confirmé le 20 mai 2026 la présence de schémas de serveurs Apple dans les fichiers volés.

22/05/2026

Article précédent

CVE-2026-42945 NGINX Rift : RCE sans auth après 18 ans de vulnérabilité

Article suivant

Pare-feux, VPN, SD-WAN : pourquoi les APT font de vos équipements réseau leur porte d'entrée favorite

Besoin d'un expert ?

Un projet cybersécurité ? Parlons-en.

Pentest, conformité NIS 2, ISO 27001, audit IA, RSSI externalisé… nos experts répondent sous 24h pour évaluer votre besoin.

Nous contacter

Commentaires (1)

Sylvie Charpentier 01/01/0001 à 00:00

CVSS 9.3 exploité le jour même de la publication... Le délai de patch de 22 jours annoncé est difficilement défendable dans ce contexte. On a désactivé le Captive Portal en urgence, mais tous les clients qui l'utilisent pour le guest WiFi ne sont pas contents.

Laisser un commentaire