Palo Alto PAN-OS CVE-2026-0300 : RCE 9.3 exploitée, patch 13 mai

Les faits

Palo Alto Networks a confirmé début mai 2026 l'existence d'une vulnérabilité critique référencée CVE-2026-0300 affectant son système d'exploitation PAN-OS, qui équipe la quasi-totalité des pare-feu nouvelle génération de l'éditeur. La faille permet une exécution de code à distance sans authentification préalable lorsque le portail d'authentification User-ID est exposé à internet ou à un réseau non maîtrisé. Le score CVSS attribué atteint 9.3, plaçant ce CVE dans la catégorie critique au sens du standard.

Le 6 mai 2026, la CISA (Cybersecurity and Infrastructure Security Agency) a ajouté CVE-2026-0300 à son catalogue Known Exploited Vulnerabilities (KEV), formalisant ainsi la preuve d'une exploitation active dans la nature. Conformément à la directive opérationnelle BOD 22-01, les agences fédérales civiles américaines avaient jusqu'au 9 mai 2026 pour appliquer une mitigation ou retirer les équipements vulnérables du périmètre exposé. L'éditeur a confirmé que la disponibilité générale du correctif logiciel est planifiée pour le 13 mai 2026, soit plus d'une semaine après les premières observations d'exploitation.

Selon les éléments publiés par Palo Alto Networks, l'exploitation observée reste limitée mais le vecteur d'attaque est trivial : une simple requête HTTP malformée vers l'endpoint du portail User-ID permet de déclencher la condition de vulnérabilité et, dans la configuration la plus exposée, d'obtenir un shell sur l'équipement. Une fois le pare-feu compromis, l'attaquant dispose d'une position privilégiée pour pivoter dans le système d'information : déchiffrer du trafic SSL, intercepter des credentials, désactiver des règles de filtrage ou injecter du trafic latéral en contournant la segmentation réseau.

La fonctionnalité User-ID est centrale dans les architectures Palo Alto : elle assure la liaison entre identités utilisateurs (Active Directory, RADIUS, ou portail captif) et adresses IP afin d'appliquer des politiques de sécurité fines. Lorsqu'elle est exposée publiquement — pratique courante dans les contextes de télétravail ou d'accès VPN sans portail dédié — la surface d'attaque devient critique. Les architectures combinant GlobalProtect et User-ID sur la même interface externe sont particulièrement concernées.

Les versions affectées couvrent les branches PAN-OS 10.1, 10.2, 11.0, 11.1 et 11.2. Les versions Cloud NGFW (offre managée hébergée chez AWS, Azure et GCP) et Prisma Access sont également exposées, bien que l'éditeur ait indiqué que les déploiements managés bénéficient d'une mitigation automatique côté infrastructure. Les déploiements on-premise ou en self-managed sur cloud nécessitent une action manuelle de la part des administrateurs.

D'après le CERT-FR, plusieurs entités françaises ont déjà été identifiées comme vulnérables via un scan passif des plages d'adresses publiques. Aucune compromission confirmée n'a été rendue publique à ce stade en France, mais la cellule de veille de l'ANSSI recommande explicitement d'appliquer la procédure de mitigation officielle dès maintenant, sans attendre le patch du 13 mai. La procédure consiste à désactiver temporairement le portail User-ID Authentication, à restreindre l'accès via des règles de filtrage source, ou à appliquer la signature Threat Prevention 96284 publiée par l'éditeur.

Cette vulnérabilité s'inscrit dans une série préoccupante touchant les équipements de bordure des fournisseurs majeurs de sécurité périmétrique. En moins de douze mois, Ivanti, Fortinet, Citrix, F5 et désormais Palo Alto ont tous publié au moins une CVE critique exploitée en zéro-day sur leurs gateways. Le modèle économique de ces produits — code propriétaire, mise à jour lente, exposition publique obligatoire — fait peser un risque structurel sur les organisations qui en dépendent.

Le décalage entre la confirmation de l'exploitation (début mai) et la disponibilité du correctif (13 mai) place les défenseurs dans une fenêtre d'exposition de plus de deux semaines, durant laquelle les seules options sont la désactivation de fonctionnalités métier ou l'application de signatures de détection IPS dont l'efficacité face à des variantes d'exploitation reste incertaine.

Impact et exposition

Sont exposées toutes les organisations utilisant un pare-feu Palo Alto Networks avec le portail User-ID Authentication accessible depuis internet ou un segment réseau non-fiable. La vérification se fait simplement en interrogeant l'interface web du portail (généralement sur le port TCP 443 avec un chemin /global-protect/login.esp ou équivalent User-ID). Les architectures Zero Trust mal segmentées, où le portail est exposé depuis des réseaux Wi-Fi invités ou des VLAN partenaires, sont également concernées. L'exploitation ne requiert ni credential, ni interaction utilisateur, ni privilège préalable : un simple accès réseau au portail suffit.

Recommandations

• Inventorier sans délai toutes les instances PAN-OS exposées et identifier celles qui exposent un portail User-ID Authentication.
• Appliquer la mitigation officielle : désactiver le portail si non strictement nécessaire, sinon restreindre par ACL aux IP de confiance uniquement.
• Activer la signature Threat Prevention 96284 dans le profil de sécurité associé aux règles concernées.
• Surveiller activement les logs system, threat et traffic du pare-feu pour toute requête suspecte vers l'endpoint User-ID. Conserver les logs au moins 90 jours.
• Appliquer le correctif officiel dès sa publication le 13 mai 2026 et rebooter les équipements concernés.
• Auditer les comptes administrateurs et les configurations XML pour détecter toute modification suspecte ayant eu lieu après le 1er mai.