CVE-2026-0300 : zero-day PAN-OS exploité, RCE root sur 70 000 firewalls

Les faits

Palo Alto Networks a publié le 22 mai 2026 un advisory d'urgence concernant CVE-2026-0300, une vulnérabilité de corruption mémoire de type heap overflow dans le composant de traitement des sessions SSL/TLS du démon PAN-OS. La faille permet à un attaquant non authentifié d'envoyer un paquet réseau spécialement forgé vers l'interface de gestion et d'obtenir une exécution de code arbitraire avec les privilèges root sur l'appliance. Aucune interaction utilisateur et aucune authentification préalable ne sont requises.

Le score CVSS 3.1 est fixé à 9.8 — catégorie critique. La vulnérabilité affecte les appliances physiques de la gamme PA-Series (PA-220, PA-820, PA-850, PA-3200, PA-5200, PA-7000), les firewalls virtuels VM-100, VM-300, VM-500 et VM-700, les instances Cloud NGFW déployées sur AWS et Azure, ainsi que les déploiements Prisma Access basés sur PAN-OS managé. L'étendue de la surface affectée est donc particulièrement large puisqu'elle couvre aussi bien les appliances physiques que les déploiements virtuels et cloud.

D'après Unit 42, l'équipe de threat intelligence de Palo Alto Networks, les premières traces d'exploitation remontent au 18 mai 2026 — soit quatre jours avant la publication publique du correctif, ce qui en fait techniquement un zero-day au moment de l'exploitation initiale. Les tentatives observées ciblent en priorité les interfaces de gestion exposées directement sur Internet, une configuration déconseillée mais encore très répandue. Des honeypots déployés par des chercheurs indépendants ont enregistré plus de 47 000 tentatives en moins de 72 heures après la publication de l'advisory, attestant d'une exploitation automatisée à large échelle.

La CISA a ajouté CVE-2026-0300 à son catalogue des vulnérabilités exploitées connues (KEV) le 23 mai 2026. Les agences fédérales américaines relevant du périmètre FCEB ont reçu l'instruction d'appliquer le patch sous sept jours, soit avant le 30 mai 2026 — délai raccourci par rapport aux trois semaines habituelles, ce qui traduit l'urgence reconnue au plus haut niveau par les autorités de cybersécurité américaines.

L'analyse technique de la faille révèle un défaut dans la gestion des tampons lors du décodage des extensions TLS 1.3. Un attaquant peut déclencher un débordement contrôlé en forgeant un handshake TLS avec une extension ClientHello malformée d'une longueur supérieure à 0x8000 octets. Le heap spray résultant permet d'écraser un pointeur de fonction dans la structure de session, redirigeant l'exécution vers un shellcode injecté. La nature de l'exploitation — une seule requête, sans état préalable, sans authentification — en fait un vecteur idéal pour des opérations de masse automatisées.

Shadowserver Foundation signale environ 72 000 interfaces de gestion PAN-OS exposées sur Internet au niveau mondial, dont environ 3 400 en France, 9 200 en Allemagne et 28 000 aux États-Unis. Le taux de patch constaté 48 heures après la publication reste inférieur à 15 %, laissant la grande majorité des équipements vulnérables. Les secteurs les plus exposés selon les données de scan réseau sont la finance (23 %), la santé (18 %), l'industrie (17 %) et les administrations publiques (14 %).

Palo Alto Networks a publié les versions corrigées PAN-OS 10.2.14, 11.0.7, 11.1.6 et 11.2.5 le 22 mai 2026. Pour les versions en fin de support (9.1.x et antérieures), aucun patch n'est disponible — la migration vers une version supportée est impérative. Les appliances Panorama et WF-500 ne sont pas directement exposées si leur interface de gestion n'est pas accessible depuis Internet ou un segment réseau non maîtrisé.

Aucun groupe APT n'a été formellement attribué à l'exploitation observée à ce stade. Les tactiques employées — scan automatisé post-publication et ciblage opportuniste des interfaces de gestion exposées — correspondent au profil des courtiers d'accès initiaux (Initial Access Brokers) qui revendent ensuite les accès à des opérateurs de ransomware. En 2025, les CVE-2025-0108 et CVE-2025-0111 sur PAN-OS avaient été instrumentalisées de façon identique, donnant lieu à une vague d'intrusions dans les semaines suivant leur publication.

Impact et exposition

Toute organisation disposant d'un firewall Palo Alto Networks PA-Series ou VM-Series sous PAN-OS < 11.2.5 est potentiellement exposée si l'interface de gestion (ports 443 ou 4443) est joignable depuis Internet ou depuis un segment réseau non maîtrisé. En cas de compromission, l'attaquant obtient un accès root complet à l'appliance, lui permettant d'inspecter tout le trafic chiffré transité, de modifier les règles de filtrage, d'implanter une backdoor persistante et de pivoter librement vers les segments internes. Pour les organisations utilisant PAN-OS comme unique garde-fou périmétrique, la compromission équivaut à la perte totale du contrôle de leur frontière réseau.

Recommandations

• Immédiat (J0) : Désactiver l'accès Internet direct aux interfaces de gestion PAN-OS et restreindre via les profils de gestion (Device > Setup > Interfaces > Management) aux seules adresses IP d'administration connues.
• Sous 48h : Appliquer les patches PAN-OS 10.2.14 / 11.0.7 / 11.1.6 / 11.2.5 selon votre branche. Pour les versions 9.1.x ou antérieures, déclencher une migration d'urgence vers une version supportée.
• Post-patch : Investiguer les logs d'accès des 10 derniers jours à la recherche de sessions TLS anormales, connexions depuis des IP inconnues ou erreurs de décodage TLS répétées. Si une compromission est suspectée, procéder à une réinstallation complète de l'OS de l'appliance avant tout usage.