CVE-2026-0300 : RCE root PAN-OS Palo Alto exploité activement (CVSS 9.3)

Les faits

CVE-2026-0300 est une vulnérabilité critique de buffer overflow affectant le service User-ID Authentication Portal (Captive Portal) de Palo Alto Networks PAN-OS, le système d'exploitation embarqué dans les pare-feux PA-Series (appliances physiques) et VM-Series (machines virtuelles). Divulguée le 6 mai 2026 dans un avis de sécurité officiel de Palo Alto Networks, la faille est assignée un score CVSSv4 de 9.3 et a été confirmée comme exploitée activement dans la nature par le fabricant lui-même au moment de sa divulgation publique.

La vulnérabilité réside dans un défaut de validation des entrées dans le traitement des paquets réseau par le service User-ID Authentication Portal. Un attaquant non authentifié peut envoyer des paquets spécialement forgés vers le portail, déclenchant un débordement de tampon dans la mémoire du processus. Ce débordement permet d'écraser des données critiques en mémoire et d'obtenir l'exécution de code arbitraire avec les privilèges root sur l'appliance. L'accès root sur un pare-feu périphérique constitue un niveau de compromission maximal : l'attaquant peut intercepter tout le trafic réseau, modifier les règles de filtrage, créer des backdoors persistants, désactiver le pare-feu, ou pivoter vers l'ensemble du réseau interne.

La surface d'attaque est limitée aux appliances dont le portail User-ID Authentication Portal est accessible depuis des adresses IP non fiables ou directement depuis Internet. Palo Alto Networks précise que Prisma Access, Cloud NGFW et Panorama ne sont pas affectés. En revanche, les déploiements PA-Series et VM-Series où le Captive Portal est exposé — configuration courante pour les réseaux wifi invités, les portails captifs d'entreprise ou les environnements BYOD — sont directement vulnérables. Selon les analyses de Wiz Blog, des milliers de portails d'authentification PAN-OS sont détectables via des outils de scanning Internet comme Shodan ou Censys.

La chronologie de CVE-2026-0300 est particulièrement préoccupante. Palo Alto Networks a publié son advisory le 6 mai 2026 en indiquant simultanément que des exploitations limitées avaient déjà été observées ciblant des portails User-ID exposés à Internet. La CISA a intégré CVE-2026-0300 au catalogue KEV (Known Exploited Vulnerabilities) le même jour, le 6 mai 2026. Cette co-divulgation synchronisée entre le vendor et la CISA constitue le signal d'alarme maximal du secteur : la faille est connue des attaquants avant même que la majorité des administrateurs aient eu connaissance de son existence.

Le déploiement des correctifs a été échelonné sur plusieurs semaines. Les premières versions corrigées ont commencé à être disponibles le 13 mai 2026, avec des sorties supplémentaires jusqu'au 28 mai 2026 pour couvrir l'ensemble des branches PAN-OS supportées (10.1, 10.2, 11.0, 11.1 et 11.2). Cette plage de déploiement étendue de plus de deux semaines a maintenu une large fenêtre de vulnérabilité dans des environnements d'infrastructure critique, particulièrement problématique au regard de l'exploitation déjà active au moment de la divulgation.

Les analyses techniques publiées par Rapid7 dans son Emerging Threat Report (ETR) et par Wiz Blog décrivent l'exploitation comme nécessitant uniquement un accès réseau direct au portail d'authentification, sans aucun prérequis d'authentification. L'indice CVSSv4 de 9.3 reflète cette combinaison d'un vecteur d'attaque réseau (AV:N), d'une complexité d'attaque faible (AC:L), d'aucun privilège requis (PR:N) et d'une confidentialité, intégrité et disponibilité toutes compromises. La découverte a été réalisée en coordination avec le programme de divulgation responsable de Palo Alto Networks.

BleepingComputer a rapporté des avertissements de Palo Alto Networks sur des attaques actives visant des pare-feux, avec des indicateurs suggérant que des acteurs malveillants ciblent en priorité les pare-feux périphériques — logique d'un point de vue stratégique, car la compromission du pare-feu frontière donne un accès total au réseau interne. Help Net Security a signalé des exploitations confirmées dès les premiers jours de mai 2026, avant même la publication officielle de l'advisory. L'existence potentielle d'une période d'exploitation zero-day avant la divulgation reste sous investigation par les équipes de sécurité des organisations potentiellement touchées.

Le vecteur d'attaque réseau sans authentification rend CVE-2026-0300 particulièrement dangereux dans les environnements où le Captive Portal est exposé sur des interfaces DMZ ou directement sur Internet. Les attaques ciblant les réseaux wifi publics d'entreprise — où le Captive Portal est par définition accessible par des utilisateurs non authentifiés — constituent un scénario d'exploitation particulièrement crédible et difficile à détecter. Des acteurs sophistiqués peuvent combiner CVE-2026-0300 avec des techniques de persistance avancées pour maintenir un accès à long terme même après l'application du correctif.

Impact et exposition

Les organisations utilisant des pare-feux Palo Alto Networks PA-Series ou VM-Series avec le portail User-ID Authentication Portal activé et accessible à des réseaux non fiables sont directement exposées. Cela comprend les entreprises utilisant des portails captifs pour le wifi invité, les universités, les hôtels et lieux d'accueil public, ainsi que les opérateurs de réseaux BYOD. Les environnements où le Captive Portal est restreint aux seules adresses IP internes de confiance présentent un risque significativement réduit.

La compromission d'un pare-feu Palo Alto Networks via CVE-2026-0300 donne à l'attaquant les clés du réseau. Avec un accès root sur l'appliance, toutes les communications transitant par le pare-feu peuvent être interceptées en MitM, les politiques de filtrage peuvent être désactivées ou modifiées, et des tunnels persistants peuvent être établis pour maintenir l'accès même après correction. Dans des secteurs réglementés (finances, santé, défense), une telle compromission déclencherait des obligations de notification réglementaire immédiates.

Les organisations dont les appareils n'ont pas été mis à jour depuis le 28 mai 2026 — date de fin du déploiement des correctifs — doivent considérer un audit de compromission comme prioritaire, particulièrement si leurs appliances exposaient un Captive Portal à Internet ou à des zones non fiables entre le 1er mai et le 28 mai 2026. L'exploitation confirmée avant la publication du patch augmente significativement la probabilité d'une compromission silencieuse.

Recommandations immédiates

• Appliquer les correctifs PAN-OS pour les branches 10.1, 10.2, 11.0, 11.1 et 11.2 — advisory Palo Alto Networks Security Advisory PAN-SA-2026-0300, correctifs disponibles depuis le 13 mai 2026.
• Désactiver le User-ID Authentication Portal si non strictement nécessaire : aller dans Network, puis GlobalProtect, puis Portals, puis Agent, puis App Configuration — désactiver le Captive Portal ou restreindre aux interfaces internes uniquement.
• Restreindre l'accès au Captive Portal aux adresses IP internes de confiance uniquement via des règles de pare-feu ou des zones réseau dédiées, conformément aux meilleures pratiques de sécurité Palo Alto Networks.
• Surveiller les logs du système (system.log, traffic.log) pour des connexions anormales vers le service User-ID depuis des adresses IP externes.
• Effectuer un audit de compromission si l'appliance était exposée entre le 1er et le 28 mai 2026 avec un Captive Portal accessible depuis Internet : vérifier les comptes créés, les règles modifiées, les certificats, les tunnels persistants.
• Activer l'authentification Multi-Facteurs sur l'interface d'administration Panorama pour limiter le risque de mouvement latéral en cas de compromission de l'appliance.