Une précédente vulnérabilité DoS Zero Day, pratiquement identique, avait été ciblée dans la nature, et il existe déjà un PoC pour celle-ci.
Palo Alto Networks a publié des correctifs pour sa plate-forme de pare-feu PAN-OS après qu’un chercheur a découvert une vulnérabilité de haute gravité qui pourrait être exploitée par des attaquants pour provoquer un déni de service (DoS).
La faille, identifiée comme CVE-2026-0227 avec un indice de gravité CVSS 7.7 (« élevé »), affecte les clients exécutant des configurations PAN-OS NGFW (pare-feu de nouvelle génération) ou Prisma Access avec la passerelle ou le portail d’accès à distance GlobalProtect de l’entreprise activé.
Sans correctif, cela permettrait à « un attaquant non authentifié de provoquer un déni de service au pare-feu. Des tentatives répétées pour déclencher ce problème entraîneraient le passage du pare-feu en mode maintenance », indique l’avis de Palo Alto.
La société n’explique pas les implications d’un pare-feu passant en mode maintenance, mais il est difficile d’imaginer que cela ne provoquerait pas de pannes de réseau alors que les administrateurs se sont empressés de résoudre le problème.
Bien que Palo Alto Networks ait déclaré qu’il n’était pas au courant d’une exploitation dans la nature, l’avis indique également que le problème lui a été signalé par un chercheur anonyme et qu’un code de preuve de concept (PoC) existe.
Étant donné que les PoC ont l’habitude de fuir ou d’être reproduits de manière indépendante, la description par Palo Alto du problème comme étant d’« urgence modérée » est interprétée comme optimiste.
Cette nouvelle vulnérabilité rappelle un problème DoS presque identique de Palo Alto Networks datant de fin 2024, CVE-2024-3393, qui mettait également les pare-feu concernés en mode maintenance. À cette occasion, les attaquants ont découvert le problème avant l’apparition des correctifs, ce qui en fait une vulnérabilité zero-day.
Plus récemment, en décembre, la société de renseignement sur les menaces GreyNoise a remarqué une augmentation des tentatives de connexion automatisées ciblant à la fois les VPN GlobalProtect et Cisco, tandis qu’au début de 2025, PAN-OS a été affecté par une grave faille Zero Day, CVE-2025-0108, qui permettait aux attaquants de contourner l’authentification de connexion.
« Selon les avis de sécurité de Palo Alto Networks, la société a signalé à ce jour près de 500 vulnérabilités, dont beaucoup affectaient PAN-OS. Une minorité significative était liée à des problèmes de DoS », a observé un porte-parole de la société de renseignement sur les menaces Flashpoint. « (Mais) une partie notable des divulgations de Palo Alto n’a historiquement pas reçu d’identifiants CVE, en particulier les problèmes PAN-OS plus anciens, ce qui peut compliquer la comparaison longitudinale entre les fournisseurs. »
Qui est concerné ?
La bonne nouvelle est que la plupart des clients utilisant la plate-forme SASE (Secure Access Service Edge) fournie dans le cloud, Prisma Access, ont déjà reçu un correctif.
« Nous avons terminé avec succès la mise à niveau de Prisma Access pour la plupart des clients, à l’exception de quelques-uns en cours en raison de calendriers de mise à niveau contradictoires. Les clients restants sont rapidement programmés pour une mise à niveau via notre processus de mise à niveau standard », indique l’avis.
Cela laisse un nombre non négligeable de clients PAN-OS NGFW utilisant la passerelle ou le portail GlobalProtect qui devront appliquer eux-mêmes le correctif. Bien que Palo Alto ait déclaré qu’il n’existait aucune solution de contournement connue, pour atténuer le problème, il pourrait être possible de désactiver temporairement l’interface VPN au prix de la perte de l’accès à distance jusqu’à ce que les correctifs soient terminés.
Palo Alto Networks a publié un tableau détaillé des correctifs applicables qui varient en fonction de la version PAN-OS sous-jacente (12.1, 11.2, 11.1 10.2) utilisée. Les versions antérieures à 10.2 ne sont pas prises en charge ; le correctif consiste à mettre à jour vers une version corrigée prise en charge.
Perturbation de disponibilité
Selon Flashpoint, un état DoS n’exposerait pas les entreprises à une menace de sécurité plus large. « Les pare-feu d’entreprise modernes sont conçus pour être « fermés en cas d’échec » plutôt que « ouverts en cas d’échec ». L’entrée en mode maintenance en raison d’une condition DoS est donc plus précisément caractérisée comme une interruption potentielle de la disponibilité que comme une exposition directe à la sécurité », a déclaré le porte-parole. « Le principal risque ici semble être la résilience plutôt que le compromis. »
