Le contournement de l’authentification sans identifiants offre aux attaquants une voie furtive vers les réseaux d’entreprise sans malware, phishing ou identifiants volés.
Une vulnérabilité de Palo Alto Networks qui permet aux attaquants d’établir un accès VPN non autorisé aux réseaux d’entreprise est activement exploitée, des semaines après que la société a révélé la faille comme un problème de gravité moyenne et a déclaré qu’elle n’était au courant d’aucune attaque.
Cependant, selon Rapid7, les acteurs malveillants ont commencé à exploiter le bug quelques jours après sa divulgation.
« Rapid7 MDR a identifié une exploitation réussie chez de nombreux clients, mais nous n’avons observé aucune indication de mouvement latéral réussi des appareils », a déclaré la société dans son analyse. Les attaquants ont atteint le réseau mais n’ont pas été vus s’enfoncer plus profondément dans les cas sur lesquels Rapid7 a enquêté, a-t-il ajouté.
La faille, identifiée comme CVE-2026-0257, affecte GlobalProtect, la plateforme VPN d’accès à distance de Palo Alto. Rapid7 a déclaré que les attaquants avaient commencé à l’exploiter dès le 17 mai, quatre jours après que Palo Alto ait publié des correctifs et des conseils d’atténuation.
Ce développement marque une escalade significative par rapport à l’avis initial de Palo Alto du 13 mai, qui évaluait la faille de gravité moyenne et déclarait que la société n’était pas au courant d’une exploitation malveillante à l’époque.
Le 29 mai, Palo Alto avait mis à jour son avis, augmentant le score CVSS de la vulnérabilité à 7,8, marquant la maturité de l’exploit comme « attaqué », lui attribuant sa note d’urgence la plus élevée.
« Palo Alto Networks a pris connaissance de tentatives d’exploitation limitées sur des appareils PAN-OS non corrigés sans application de mesures d’atténuation », a indiqué la société dans la mise à jour.
L’exploitation émerge rapidement
Bien que la faille ne permette pas l’exécution de code à distance sur le pare-feu lui-même, Rapid7 a exhorté les organisations à la traiter comme étant plus grave que ne le suggère son score de gravité attribué.
« Bien que le score CVSSv4 attribué indique une gravité moyenne, en raison des circonstances entourant cette vulnérabilité, Rapid7 exhorte les organisations à la traiter comme une vulnérabilité critique », a déclaré la société.
Sunil Varkey, conseiller chez Beagle Security, a déclaré que la vulnérabilité est particulièrement préoccupante car elle permet ce qu’il a décrit comme un « contournement d’authentification totalement sans informations d’identification ».
« Les attaquants peuvent créer un faux cookie en utilisant la clé publique accessible au public et établir directement une session VPN sans aucun logiciel malveillant, phishing ou informations d’identification volées », a déclaré Varkey.
Parce que la session qui en résulte semble légitime, une telle activité peut être beaucoup plus difficile à détecter que de nombreuses techniques d’intrusion traditionnelles, a-t-il ajouté.
Alors que les failles d’exécution de code à distance attirent souvent les niveaux de gravité les plus élevés, les vulnérabilités de contournement d’authentification affectant l’infrastructure d’accès à distance peuvent créer un risque comparable pour l’entreprise, selon Sakshi Grover, responsable de recherche senior pour les services de cybersécurité chez IDC Asie/Pacifique.
« Dans un modèle moderne de confiance zéro, l’identité est le nouveau périmètre », a déclaré Grover. « Une vulnérabilité qui accorde un accès authentifié non autorisé compromet effectivement ce périmètre, même sans exécuter de code sur l’appareil sous-jacent. »
Le risque d’entreprise, a-t-elle ajouté, concerne moins l’action directe de la vulnérabilité que l’accès qu’elle permet par la suite, y compris les mouvements latéraux, la collecte d’informations d’identification et la persistance sous le couvert de ce qui semble être une session légitime.
Quelle est la cause du défaut
Le défaut réside dans la façon dont PAN-OS gère les cookies de remplacement d’authentification, a déclaré Rapid7 dans la divulgation. La passerelle déchiffre un cookie avec une clé privée, puis fait confiance à son contenu sans vérifier de signature.
Le cookie est une fonctionnalité pratique, a déclaré Varkey.
« De nombreuses organisations ont activé les cookies d’authentification pour une raison simple : améliorer l’expérience utilisateur », a-t-il déclaré. « Et maintenant, il faut le réexaminer sérieusement. »
Le bug ne se produit que sous une seule configuration, a ajouté Rapid7. Les cookies doivent être activés et le certificat qui les protège doit également remplir une autre fonction, comme l’interface HTTPS de la passerelle. Un attaquant peut alors récupérer la clé publique et falsifier un cookie valide. La fonctionnalité est désactivée par défaut, mais les équipes qui l’ont activée il y a des années ne savent peut-être pas qu’elles sont exposées.
Cela pointe vers une leçon plus large, a déclaré Grover. Le risque ne vient souvent pas d’une faille en elle-même, mais de la façon dont la technologie est configurée et entretenue au fil du temps, a-t-elle déclaré.
La pression du patch augmente
L’urgence entourant la faille s’est encore accrue après que l’Agence américaine de cybersécurité et de sécurité des infrastructures a ajouté CVE-2026-0257 à son catalogue de vulnérabilités exploitées connues le 29 mai et a ordonné aux agences civiles fédérales de remédier au problème d’ici le 1er juin.
Rapid7 a déclaré que les organisations devraient examiner les déploiements GlobalProtect concernés, vérifier si des configurations vulnérables sont présentes et appliquer les correctifs disponibles dès que possible.
L’incident met également en lumière un défi plus large pour les organisations qui recherchent des architectures Zero Trust.
« La confiance zéro n’a pas éliminé le périmètre ; elle l’a redistribué », a déclaré Grover. « Les fournisseurs d’identité, les passerelles VPN, les portails d’accès à distance, les périphéries SASE et les services d’accès au cloud sont devenus la nouvelle cible des attaquants aux points de contrôle. »
Les organisations continuent d’investir massivement dans la sécurité des réseaux et les initiatives Zero Trust, a-t-elle déclaré, mais l’infrastructure VPN existante reste souvent profondément ancrée dans les environnements d’entreprise, créant une période de transition que les attaquants exploitent plus rapidement que de nombreuses organisations ne peuvent se moderniser.
« Cet incident renforce une dure vérité : malgré des années de discussions sur le principe de confiance zéro, la sécurité du périmètre reste fragile lorsque la commodité l’emporte sur une architecture minutieuse », a-t-il déclaré.
Pour les RSSI, la leçon va au-delà de l’application de correctifs. « Le schéma récurrent d’exploitation des appareils de pointe est rarement le résultat d’un produit de sécurité manquant », a déclaré Grover. « Le plus souvent, cela reflète des lacunes en matière de visibilité des actifs, de gouvernance de la configuration, de priorisation des correctifs et de modernisation de l’architecture. »
