En bref

  • CVE-2026-0300 : zero-day RCE sans authentification sur les firewalls Palo Alto Networks PA Series et VM Series, exploité via le portail User-ID Captive Portal
  • Exploité depuis le 9 avril 2026 par CL-STA-1132, un groupe APT lié à APT41 et aux services de renseignement chinois, ciblant des infrastructures critiques nord-américaines
  • Appliquer immédiatement le hotfix Palo Alto Networks et restreindre l'accès réseau au portail Captive Portal depuis les zones non maîtrisées

Les faits

En mai 2026, Palo Alto Networks a officiellement confirmé l'exploitation active de CVE-2026-0300, une vulnérabilité de type Remote Code Execution sans authentification affectant le portail d'authentification User-ID des firewalls PA Series et VM Series sous PAN-OS. La découverte est le résultat d'une analyse forensique rétrospective menée par Unit 42, l'équipe de threat intelligence de Palo Alto Networks, après plusieurs incidents ciblant des opérateurs d'infrastructures critiques en Amérique du Nord. SecurityWeek, Help Net Security, BleepingComputer et SecurityAffairs ont publié des analyses détaillées dans les jours suivant la confirmation officielle.

La chronologie de l'exploitation est précisément documentée par Unit 42. Les premières tentatives, infructueuses, ont été enregistrées le 9 avril 2026. Environ une semaine plus tard — vers le 16 ou 17 avril — les attaquants ont réussi à obtenir une exécution de code à distance. Le vecteur d'attaque exploite le composant Captive Portal de la fonctionnalité User-ID Authentication, un module de PAN-OS qui identifie les utilisateurs sur le réseau à des fins de politique de sécurité. Ce portail, dans certains déploiements, est accessible depuis l'interface réseau externe des firewalls, créant une surface d'attaque directement exposée à Internet.

L'exploitation réussie se traduit par l'injection d'un shellcode dans le processus Nginx worker du firewall, offrant une exécution de commandes avec des privilèges élevés sur le système d'exploitation sous-jacent. Une fois ce niveau d'accès obtenu, les attaquants disposent d'une visibilité totale sur le trafic réseau transitant par l'appliance, d'un accès aux politiques de sécurité configurées, aux credentials VPN gérés par l'appliance, et potentiellement aux secrets d'intégration avec les annuaires LDAP et Active Directory. La compromission d'un firewall périmétral est l'une des situations les plus critiques en sécurité opérationnelle : l'équipement de protection devient l'outil de l'attaquant.

Le groupe responsable est suivi sous le nom de CL-STA-1132 par Palo Alto Unit 42. Les outils déployés lors de ces intrusions — notamment le toolkit EarthWorm, un tunnel SOCKS5 open-source fréquemment utilisé par des groupes d'origine chinoise — ont permis aux analystes d'établir des liens avec UAT-8337 et APT41, deux entités considérées comme des contractors du Ministry of State Security (MSS) de la République populaire de Chine. L'utilisation d'EarthWorm pour créer des tunnels SOCKS5 persistants est cohérente avec les tactiques connues d'APT41 dans d'autres campagnes documentées. Aucune attribution gouvernementale officielle n'a cependant été émise à ce stade de l'enquête.

Un élément particulièrement préoccupant de cet incident est le délai de détection. CVE-2026-0300 est passée initialement sous le radar pendant plusieurs semaines : l'exploitation active a débuté le 9 avril, mais la vulnérabilité n'a été formellement identifiée et signalée que plus tard, permettant aux attaquants d'opérer discrètement pendant une fenêtre prolongée. Ce délai illustre la capacité des acteurs étatiques à exploiter des zero-days dans des équipements de sécurité périmétrale en maintenant un profil bas, évitant les comportements bruyants susceptibles de déclencher des alertes d'anomalies dans les SIEM et SOC des victimes.

La nature des secteurs ciblés est cohérente avec les objectifs de collecte de renseignement attribués aux groupes APT chinois : selon les informations relayées par Help Net Security et CyberScoop, les victimes appartiennent principalement aux secteurs de l'énergie, des télécommunications et des services financiers nord-américains. La compréhension des réseaux de distribution d'énergie, des architectures télécoms et des flux financiers stratégiques présente une valeur géopolitique évidente dans le contexte actuel des tensions sino-américaines et des dynamiques liées aux chaînes d'approvisionnement critiques.

Cette compromission s'inscrit dans un pattern bien établi d'attaques contre les équipements de sécurité réseau par des APT étatiques. En 2024, les firewalls Palo Alto avaient déjà été ciblés via CVE-2024-3400, qui permettait également une RCE non authentifiée. En 2025, les VPN Ivanti, Cisco et Fortinet avaient subi des campagnes similaires. La logique opérationnelle est constante : compromettre l'équipement de sécurité périmétrale offre une position d'observation privilégiée sur l'intégralité du trafic entrant et sortant, sans nécessiter de mouvement latéral complexe à l'intérieur du réseau cible.

Cisco Talos a par ailleurs documenté une campagne distincte menée par un groupe lié à la Chine — UAT-8837 — exploitant un zero-day Sitecore contre des infrastructures critiques, ce qui confirme une intensification généralisée des opérations APT chinoises contre les équipements et logiciels d'infrastructure au cours du premier semestre 2026. La CISA n'avait pas encore formellement inscrit CVE-2026-0300 à son catalogue KEV (Known Exploited Vulnerabilities) au moment de la rédaction de cet article, mais un ajout est attendu compte tenu de la confirmation d'exploitation active par un acteur étatique contre des cibles d'infrastructure critique américaine.

Impact et exposition

Sont exposés tous les firewalls Palo Alto Networks PA Series et VM Series exécutant des versions de PAN-OS antérieures au hotfix, dont le portail Captive Portal User-ID est accessible depuis une zone réseau non maîtrisée. Dans les déploiements où l'interface de gestion ou le portail d'authentification est exposé à Internet — pratique courante mais risquée — l'exploitation est directement possible depuis n'importe quelle adresse IP mondiale, sans aucun credential préalable. Les conséquences d'une compromission incluent : accès complet aux configurations du firewall et aux politiques de sécurité, interception du trafic réseau, extraction des credentials VPN et LDAP, utilisation du firewall comme pivot vers le réseau interne, et déploiement de backdoors persistants.

Recommandations

  • Immédiat : appliquer le hotfix CVE-2026-0300 disponible sur le Customer Support Portal de Palo Alto Networks — consulter le security advisory officiel pour la liste des versions corrigées par branche PAN-OS
  • Restreindre l'accès au portail Captive Portal User-ID par ACL ou règle de firewall préliminaire pour n'autoriser que les plages IP légitimes du réseau interne
  • Si le Captive Portal n'est pas utilisé, le désactiver dans Device → User-ID → Captive Portal Settings
  • Analyser les logs PAN-OS (Monitor → Logs → Traffic et System) pour des requêtes HTTP anormales vers le portail d'authentification depuis le 9 avril 2026
  • Surveiller les connexions réseau sortantes initiées par le firewall lui-même vers des adresses IP externes inconnues — signe potentiel d'un shellcode EarthWorm actif
  • En cas de suspicion de compromission, contacter le support Palo Alto Networks en priorité et, pour les entités françaises classées OIV ou OSE, notifier l'ANSSI

Alerte critique

CVE-2026-0300 est exploitée par un APT lié à la Chine contre des infrastructures critiques depuis le 9 avril 2026. Si vos firewalls Palo Alto PA Series ou VM Series ne sont pas patchés et que le portail Captive Portal est accessible depuis une zone non maîtrisée, votre périmètre peut être compromis sans authentification. La compromission d'un firewall périmétral est l'incident le plus difficile à détecter et à contenir.

Comment vérifier si mon firewall Palo Alto Networks est vulnérable à CVE-2026-0300 ?

Trois vérifications à effectuer : (1) consulter le security advisory CVE-2026-0300 sur le portail Palo Alto Networks et comparer la version PAN-OS installée (Device → Setup → Software) avec la liste des versions corrigées par branche PAN-OS ; (2) vérifier si le Captive Portal est activé (Device → User-ID → Captive Portal) et si son interface réseau est accessible depuis des zones non-trusted ou depuis Internet via une règle de sécurité permissive ; (3) analyser les logs système (Monitor → Logs → System) pour des événements inhabituels dans le composant User-ID depuis le 9 avril 2026, notamment des erreurs de parsing inhabituelles ou des processus enfants inattendus. En cas de doute sur une compromission potentielle, ne pas tenter de remédiation seul — ouvrir un ticket Priority Support chez Palo Alto Networks et envisager de substituer temporairement l'appliance suspecte par un équipement sain le temps de l'analyse forensique.

Votre infrastructure est-elle exposée ?

Ayi NEDJIMI réalise des audits de sécurité ciblés pour identifier et corriger vos vulnérabilités avant qu'elles ne soient exploitées.

Demander un audit