CVE-2026-0300 : RCE non-auth Palo Alto PAN-OS (CVSS 9.3)

Les faits

Palo Alto Networks a publié le 6 mai 2026 un avis d'urgence concernant CVE-2026-0300, une vulnérabilité de type débordement de tampon heap (heap buffer overflow, CWE-787) affectant le service de portail d'authentification User-ID (Captive Portal) de PAN-OS. Avec un score CVSS 4.0 de 9.3 (vecteur : CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:L/SA:N/E:A/AU:Y/R:U/V:C/RE:M/U:Red), cette vulnérabilité est classée critique et fait l'objet d'une exploitation active in-the-wild au moment même de sa divulgation. La CISA l'a ajoutée à son catalogue KEV (Known Exploited Vulnerabilities) dès le 6 mai 2026.

Le service vulnérable, le portail d'authentification User-ID (aussi appelé Captive Portal), écoute sur les ports 6081 et 6082 de l'interface réseau configurée pour l'authentification captive. Sa fonction est de mapper les adresses IP des postes de travail aux identités d'utilisateurs pour l'application des politiques de sécurité — une fonctionnalité couramment déployée dans les environnements d'entreprise pour les accès Wi-Fi invité, les zones BYOD, ou les politiques de filtrage applicatif basées sur l'identité. Ce n'est pas une configuration par défaut de PAN-OS, mais elle est répandue dans les déploiements d'entreprise de grande envergure.

Techniquement, la faille réside dans la logique de traitement des paquets réseau du service User-ID Authentication Portal. Un paquet réseau spécialement forgé, envoyé sans aucune authentification préalable, déclenche un débordement de tampon hors limites (out-of-bounds write, CWE-787) dans la heap du processus vulnérable. Ce type de primitive mémoire permet à un attaquant de corrompre des structures de données adjacentes en mémoire et de détourner le flux d'exécution pour exécuter du code arbitraire avec les privilèges root sur le système PAN-OS sous-jacent. L'exploitation réussie d'un pare-feu Palo Alto Networks donne à l'attaquant un contrôle total sur le dispositif : modification des règles de filtrage, interception du trafic réseau chiffré, pivot vers les segments réseau protégés, et compromission de l'ensemble de l'infrastructure de sécurité périmétrique.

Les versions affectées couvrent l'ensemble des branches PAN-OS actuellement supportées. La branche PAN-OS 12.1 est vulnérable jusqu'aux versions 12.1.4-h5 et 12.1.7 (non incluses). La branche 11.2 est vulnérable sur les versions antérieures à 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 et 11.2.12. La branche 11.1 requiert l'application de plusieurs hotfixes selon la version exactement déployée. La branche 10.2 est également affectée sur de multiples sous-versions. En revanche, Cloud NGFW, Prisma Access et les appliances Panorama ne sont pas concernés — uniquement les appliances PA-Series et VM-Series physiques ou virtuelles exécutant le portail User-ID.

Selon les données Shodan citées dans l'analyse de Rapid7 (publiée le 6 mai 2026), environ 5 800 instances VM-Series et 67 appliances PA-Series exposant le port 6081 directement sur Internet étaient identifiables au moment de la divulgation. Ce chiffre sous-estime probablement le nombre réel d'instances vulnérables, car de nombreux déploiements se trouvent derrière des équilibreurs de charge ou n'exposent pas ce port directement, mais restent accessibles depuis des zones réseau semi-fiables. Le score CVSS descend à 8.7 si l'accès au portail est restreint aux seules adresses IP internes fiables, mais le risque demeure critique.

La chronologie de cette vulnérabilité est particulièrement préoccupante du point de vue de la gestion de crise. Palo Alto Networks a publié l'avis initial les 5-6 mai 2026 en confirmant une exploitation active, mais sans patch disponible à ce stade. La vulnérabilité a donc été divulguée publiquement comme un zero-day actif. Les premiers correctifs ont commencé à être déployés à partir du 13 mai 2026 — soit une semaine après la divulgation — avec des releases supplémentaires programmées jusqu'au 28 mai 2026. Cette fenêtre de sept jours sans patch, pendant laquelle la vulnérabilité était connue et activement exploitée, a exposé de nombreuses organisations sans option de remédiation autre que le contournement ou l'isolation complète du service vulnérable.

L'attribution de l'exploitation active est assurée par l'équipe Unit 42 de Palo Alto Networks, qui a identifié le groupe de menace CL-STA-1132 comme responsable des premières exploitations. Ce groupe est qualifié de menace probablement étatique selon la classification de Palo Alto Networks. Les outils de détection de Rapid7 InsightVM/Nexpose et de la plateforme Exposure Command incluent des vérifications de détection authentifiées depuis le 6 mai 2026. Aucun proof-of-concept public n'a été publié par des chercheurs externes — l'exploitation confirmée repose sur des capacités développées en interne par les acteurs malveillants.

Cette vulnérabilité s'inscrit dans un contexte plus large d'attaques ciblant les appliances de sécurité périmétrique — pare-feux, VPN concentrators, équilibreurs de charge — comme vecteur d'entrée initial dans les systèmes d'entreprise. Les dispositifs de sécurité réseau occupent une position privilégiée dans l'infrastructure tout en présentant souvent une large surface d'attaque, ce qui en fait des cibles de choix pour les acteurs étatiques et les groupes de cybercriminalité avancés. CVE-2026-0300 confirme cette tendance alarmante, déjà observée avec les vulnérabilités Ivanti Connect Secure, Cisco ASA et les précédentes failles PAN-OS critiques des années récentes.

Impact et exposition

Les organisations les plus exposées sont celles qui ont activé le portail d'authentification User-ID sur des interfaces accessibles depuis des zones réseau non fiables — Internet public, zones invité, segments BYOD. Dans ces configurations, aucune authentification n'est requise pour déclencher la vulnérabilité : un seul paquet réseau malformé suffit à compromettre l'appliance. Les déploiements où le portail est uniquement accessible depuis le LAN interne présentent un risque réduit (CVSS 8.7), mais non nul — un attaquant ayant obtenu un premier point d'ancrage sur le réseau interne peut exploiter la faille pour escalader ses privilèges et prendre le contrôle du périmètre de sécurité.

L'impact d'une compromission réussie d'un pare-feu Palo Alto Networks est catastrophique pour l'organisation victime. L'attaquant obtient un accès root à l'appliance, lui permettant de modifier toutes les règles de filtrage, de désactiver les mécanismes d'inspection SSL/TLS, d'activer le mirroring du trafic vers des serveurs externes, et d'ouvrir des tunnels VPN non autorisés. Dans les environnements SD-WAN ou SASE intégrant PAN-OS, la compromission d'un nœud peut se propager à l'ensemble de la structure réseau distribuée. Les données de la CISA indiquent que les acteurs parrainés par des États ciblent prioritairement ces dispositifs pour des opérations de long terme : espionnage, interception de communications, et persistance difficile à détecter.

L'exposition globale reste difficile à quantifier avec précision. Si les 5 800 instances VM-Series identifiées sur Shodan représentent la surface directement exposée à Internet, des milliers d'autres déploiements on-premise dans des grandes entreprises, des administrations publiques, des opérateurs télécoms et des prestataires de services managés sont potentiellement vulnérables depuis des zones réseau semi-fiables. Les secteurs les plus exposés incluent les administrations publiques, les établissements de santé, les opérateurs d'infrastructure critique, et les entreprises du secteur financier.

L'absence de proof-of-concept public ne doit pas induire en erreur sur la facilité d'exploitation. Les acteurs étatiques n'ont pas besoin de PoC public : ils développent leurs propres capacités d'exploitation en interne. La confirmation d'exploitation active par Unit 42 signifie que des chaînes d'exploitation fonctionnelles existent déjà et sont utilisées dans des opérations réelles. La fenêtre de risque pour les organisations non patchées est donc immédiate et réelle, et s'étend jusqu'à l'application complète des correctifs sur tous les équipements concernés.

Recommandations immédiates

• Appliquer les correctifs PAN-OS immédiatement selon votre branche : PAN-OS 12.1.4-h5 ou 12.1.7 ; PAN-OS 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 ou 11.2.12 ; versions équivalentes pour les branches 11.1 et 10.2 — advisory : Palo Alto Networks Security Advisory PAN-SA-2026-0300
• Si le patch n'est pas encore disponible pour votre version : restreindre immédiatement l'accès au portail d'authentification User-ID aux seules adresses IP internes fiables, ou désactiver le portail si la fonctionnalité n'est pas indispensable
• Désactiver les pages de réponse sur toutes les interfaces exposées à Internet ou à des zones non fiables (option de mitigation temporaire documentée dans l'avis PAN-SA-2026-0300)
• Activer la règle Threat ID 510019 sur les appliances PAN-OS 11.1+ avec abonnement Threat Prevention pour une détection et un blocage partiel des tentatives d'exploitation
• Auditer les journaux d'accès au portail User-ID pour identifier d'éventuelles tentatives d'exploitation — connexions anormales sur les ports 6081 et 6082, patterns de requêtes malformées
• Vérifier l'intégrité de la configuration PAN-OS : règles de pare-feu modifiées de façon inattendue, comptes administrateurs inconnus créés, tunnels VPN non autorisés actifs