Une vulnérabilité critique de PAN-OS affectant le portail d’authentification par ID utilisateur est activement exploitée pour permettre l’exécution de code à distance non authentifié avec les privilèges root sur les pare-feu exposés.
Palo Alto Networks avertit ses clients d’une vulnérabilité critique de débordement de tampon affectant son portail d’authentification d’ID utilisateur PAN-OS, qui est déjà exploitée dans la nature.
La faille permet aux attaquants d’exécuter du code arbitraire avec les privilèges root sur les pare-feu exposés, a indiqué la société dans un avis de sécurité. PAN-OS est le logiciel qui exécute tous les pare-feu de nouvelle génération de Palo Alto Networks.
« Ce problème s’applique uniquement aux pare-feu des séries PA et VM configurés pour utiliser le portail d’authentification par ID utilisateur », a ajouté la société. « Les appareils Prisma Access, Cloud NGFW et Panorama ne sont pas concernés par cette vulnérabilité. »
L’avis note qu’une « exploitation limitée » a été observée ciblant les portails d’authentification exposés à des adresses IP non fiables et à l’Internet public. Les clients qui limitent ces portails à des réseaux internes fiables sont en sécurité.
Le problème est en attente d’un correctif dans les prochaines versions de PAN-OS, et les utilisateurs ont été invités à appliquer des solutions de contournement et des atténuations entre-temps.
Accès root via un portail de connexion pare-feu
La faille, identifiée comme CVE-2026-0300, présente un score CVSS de 9,3 dans les déploiements exposés sur Internet et a été classée comme vulnérabilité d’écriture hors limites, mappée à CWE-787. Selon Palo Alto Networks, le problème permet à des attaquants non authentifiés d’exécuter du code arbitraire avec les privilèges root sur les appareils concernés.
La faille n’affecte que les déploiements PAN-OS où le portail d’authentification par ID utilisateur est activé. Les versions concernées couvrent plusieurs branches de versions de PAN-OS, notamment les versions 10.2, 11.1 et 12.1 antérieures aux versions corrigées dont le déploiement est prévu en mai.
Merav Bar, chercheur chez Wiz, a déclaré que la société de recherche appartenant à Google a découvert qu’un total de 7 % des environnements avaient exposé publiquement des instances PAN-OS. Cependant, on ne sait pas combien d’entre eux ont activé le portail concerné. « Étant donné que ce portail utilise les ports 6081 et 6082, l’exposition de ces ports spécifiques est la principale mesure d’exploitabilité », a-t-elle ajouté dans un article de blog. « Actuellement, Shodan identifie 67 serveurs PAN-OS exposés sur le port 6081, sans qu’aucun ne soit détecté sur le port 6082. »
Cette vulnérabilité a également attiré l’attention du gouvernement. L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté CVE-2026-0300 à son catalogue connu de vulnérabilités exploitées (KEV) peu de temps après la divulgation, tandis que plusieurs agences nationales de cybersécurité ont averti les organisations de supposer qu’une exploitation ultérieure est probable.
Les atténuations d’abord, les correctifs peu de temps après
Bien que Palo Alto Networks ait annoncé des correctifs pour les branches PAN-OS concernées, la société exhorte ses clients à réduire immédiatement leur exposition plutôt que d’attendre les fenêtres de correctifs. Le fournisseur a déclaré que l’atténuation la plus importante consiste à restreindre l’accès au portail d’authentification par identifiant utilisateur afin qu’il ne soit accessible qu’à partir d’adresses IP internes de confiance.
Il est conseillé aux organisations qui ne s’appuient pas sur la fonctionnalité Captive Portal de la désactiver complètement. Palo Alto a également recommandé de désactiver les pages de réponse sur les interfaces exposées à un trafic non fiable tout en les gardant activées uniquement sur les interfaces internes fiables où les utilisateurs légitimes se connectent.
Pour les clients disposant d’un abonnement Threat Prevention, Palo Alto a déclaré que les attaques peuvent également être bloquées à l’aide de l’ID de menace 510019 inclus dans la version 9097-10022 du contenu Applications et menaces, bien que la prise en charge du décodeur nécessite PAN-OS 11.1 ou version ultérieure.
