CVE-2026-0300 : RCE root PAN-OS Captive Portal exploité

Les faits

Palo Alto Networks a publié le 6 mai 2026 un advisory en urgence concernant CVE-2026-0300, un buffer overflow critique affectant le service User-ID Authentication Portal (couramment appelé Captive Portal) de PAN-OS. La vulnérabilité permet à un attaquant non authentifié de déclencher une écriture hors limites en envoyant des paquets réseau spécialement forgés vers le portail captif, conduisant à l''exécution de code arbitraire avec les privilèges root sur le firewall ciblé. Le score CVSS 4.0 atteint 9.3 lorsque le portail est accessible depuis Internet ou un réseau non fiable, et descend à 8.7 si l''accès est restreint à des plages IP internes connues.

Selon l''advisory de Palo Alto Networks (PAN-SA-2026-0001), une exploitation in-the-wild a été observée sur des instances exposées publiquement avant même la publication du correctif, plaçant CVE-2026-0300 dans la catégorie zero-day. Les équipes de Palo Alto Unit 42 ont confirmé avoir identifié plusieurs tentatives d''exploitation visant des appliances accessibles sur Internet, où le User-ID Authentication Portal était activé sans restriction d''origine. Help Net Security et BleepingComputer rapportent que les attaquants déposent une charge utile en mémoire, contournent les contrôles d''authentification du portail et obtiennent un shell root sur le firewall.

Le 6 mai 2026, CISA a ajouté CVE-2026-0300 au catalogue des Known Exploited Vulnerabilities (KEV), imposant aux agences fédérales américaines (FCEB) une échéance de remédiation au 9 mai 2026, soit trois jours seulement, ce qui traduit la criticité opérationnelle de la faille. Le CERT-FR devrait suivre dans les heures qui viennent avec un avis officiel, conformément à sa politique sur les vulnérabilités d''équipements de sécurité périmétrique exploités activement.

Sur le plan technique, la vulnérabilité réside dans la fonction de traitement des requêtes HTTP/HTTPS du démon authd lié au User-ID Authentication Portal. Lorsque le portail traite un paramètre sur-dimensionné dans certaines requêtes liées à la phase pré-authentification, un dépassement de tampon en pile permet d''écraser une adresse de retour ou un pointeur de fonction. L''exploitation observée fait usage d''une chaîne ROP combinée à un contournement d''ASLR via une fuite d''information préalable, mais Wiz et Rapid7 indiquent qu''aucun PoC public n''a encore été publié à la date du 7 mai 2026, ce qui n''empêche pas les attaquants disposant déjà de l''exploit privé d''opérer.

Les versions impactées incluent PAN-OS 11.1 (avant 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 et 11.1.15), PAN-OS 11.2 (avant 11.2.4-h17, 11.2.7-h13, 11.2.10-h6 et 11.2.12), PAN-OS 10.2 et PAN-OS 12.1 (avant 12.1.4-h5 et 12.1.7). Les premiers correctifs cumulés sont annoncés à partir du 13 mai 2026, avec une livraison étalée jusqu''au 28 mai 2026 selon la branche de version. Les services managés Prisma Access, Cloud NGFW et les consoles de management Panorama ne sont pas vulnérables, le Captive Portal n''étant pas exposé sur ces produits.

Selon Rapid7 et SecurityWeek, la condition préalable d''exploitation est simple : que la fonctionnalité User-ID Authentication Portal soit activée et que le firewall expose une interface L3 sur laquelle ce portail est joignable, typiquement en environnement entreprise pour authentifier des utilisateurs invités, gérer le BYOD ou appliquer des politiques par utilisateur. La surface d''attaque mondiale, mesurée via Shodan et Censys par les chercheurs, dépasse plusieurs dizaines de milliers d''appliances exposées au moment de la divulgation, dont une part significative en Europe et en France, notamment sur des firewalls de DMZ ou de portails Wi-Fi captifs.

Les indicateurs de compromission communiqués à ce stade portent sur des journaux d''accès atypiques au User-ID Authentication Portal, des requêtes HTTP avec des en-têtes ou paramètres anormalement longs, des redémarrages inattendus du démon authd, et des connexions sortantes vers des infrastructures de Command and Control depuis le firewall lui-même, ce qui est anormal sur un équipement périmétrique sain. Palo Alto recommande de surveiller les journaux system.log à la recherche de crashes du processus authd ainsi que les threat logs pour détecter des signatures correspondant à l''exploitation, plusieurs signatures IPS ayant été poussées dans les Threat Prevention content updates récents.

L''alerte est d''autant plus sensible que les firewalls périmétriques constituent un point de pivot stratégique : un compromis root sur un PA-Series ouvre l''accès au cœur du réseau interne, permet l''interception et la modification du trafic, ainsi que le détournement des règles VPN et des sessions GlobalProtect. Cette faille s''inscrit dans une série préoccupante de zero-days touchant les équipements de sécurité périmétrique en 2025-2026, après les incidents Ivanti, Fortinet et SonicWall de l''année écoulée.

Impact et exposition

Toute organisation exploitant un firewall Palo Alto PA-Series ou VM-Series avec User-ID Authentication Portal activé et accessible depuis une interface L3 où transite du trafic non fiable est directement exposée. Cela inclut les firewalls périmétriques exposant un portail captif Wi-Fi invité, les déploiements BYOD avec authentification utilisateur, et les architectures MDM s''appuyant sur PAN-OS pour le contrôle d''accès par identité.

L''exploitation est non authentifiée, à distance, sans interaction utilisateur, et conduit à un compromis root complet du firewall : le vecteur d''attaque CVSS est AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H. La complexité d''exploitation est faible une fois l''exploit en main, et plusieurs acteurs étatiques sont historiquement intéressés par les firewalls Palo Alto pour établir une persistance discrète sur les réseaux d''entreprise et gouvernementaux.

Le KEV CISA et l''échéance fédérale au 9 mai 2026 indiquent que l''exploitation est suffisamment large et opportuniste pour que les organisations supposent que toute appliance exposée sur Internet est potentiellement déjà compromise jusqu''à preuve du contraire. Une chasse proactive aux IoC est recommandée plutôt qu''un simple patch, d''autant que les premiers correctifs n''arriveront qu''à partir du 13 mai.

En France, le secteur public, la santé, les opérateurs de service essentiel (NIS2) et les grandes entreprises tertiaires utilisent largement les firewalls Palo Alto en périmètre. La période entre le 7 et le 13 mai 2026 constitue une fenêtre critique pendant laquelle seules les mitigations de configuration peuvent réduire le risque, en attendant la disponibilité des correctifs.

Recommandations immédiates

• Appliquer les correctifs dès leur disponibilité — advisory Palo Alto Networks PAN-SA-2026-0001 ; versions cibles : PAN-OS 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5, 11.1.15, 11.2.4-h17, 11.2.7-h13, 11.2.10-h6, 11.2.12, 12.1.4-h5, 12.1.7 (disponibilités échelonnées du 13 au 28 mai 2026).
• Mitigation immédiate (avant patch) : restreindre l''accès au User-ID Authentication Portal aux seules zones de confiance via la politique de sécurité ; désactiver les Response Pages dans l''Interface Management Profile attaché à chaque interface L3 exposée à du trafic non fiable.
• Activer ou mettre à jour les signatures Threat Prevention de Palo Alto pour bénéficier de la détection IPS spécifique à CVE-2026-0300 publiée dans les content updates récents.
• Auditer les journaux system.log à la recherche de crashes du processus authd, ainsi que les threat logs et les flux sortants depuis le firewall vers des destinations externes inconnues, signe potentiel de C2 post-compromission.
• En cas de doute sur une compromission, isoler le firewall, capturer une image mémoire pour analyse forensique, restaurer une configuration propre vérifiée et faire pivoter l''ensemble des secrets gérés par l''équipement (clés API, certificats, mots de passe administrateurs, secrets RADIUS/TACACS).