Accueil / Logiciels / Palo Alto corrige en urgence un zero-day PAN-OS

Palo Alto corrige en urgence un zero-day PAN-OS

Par
6 Mins Read
13 mai 2026

Sommaire de l'article

Une faille critique non corrigée expose des pare-feu Palo Alto à une prise de contrôle distante, avec accès root et exploitation déjà observée.

Palo Alto Networks alerte ses clients sur CVE-2026-0300, une vulnérabilité critique de PAN-OS exploitée contre des pare-feu exposés à Internet. Cette faille de type buffer overflow touche le portail d’authentification User-ID, aussi appelé Captive Portal, sur les gammes PA-Series et VM-Series. Un attaquant non authentifié peut envoyer des paquets spécialement conçus, sans identifiants ni interaction utilisateur, afin d’exécuter du code arbitraire avec les privilèges root. Aucun correctif n’est encore disponible. Les premiers hotfixes sont annoncés autour du 13 mai 2026, puis une seconde vague vers le 28 mai. Les contournements deviennent donc prioritaires.

Une porte d’entrée critique sur le périmètre réseau

Dans une infrastructure d’entreprise, le pare-feu marque souvent la frontière entre le réseau interne, les partenaires et Internet. C’est précisément ce rôle stratégique qui rend CVE-2026-0300 aussi sensible. La vulnérabilité se situe dans le service User-ID Authentication Portal de PAN-OS. Ce composant intervient lorsque le pare-feu ne parvient pas à associer automatiquement une adresse IP à une identité utilisateur. Il présente alors un portail d’authentification, destiné à collecter des identifiants.

Le problème repose sur une écriture hors limites en mémoire, classée CWE-787. En pratique, la logique de traitement des paquets accepte une séquence réseau spécialement forgée, capable de déclencher un débordement de tampon. Comme le chemin d’exécution vulnérable intervient avant toute authentification, l’attaquant n’a pas besoin de compte, de mot de passe, d’accès préalable ou d’action de la victime.

Le scénario d’attaque est donc direct. Un système exposé reçoit le paquet malveillant. La mémoire est corrompue. Le flux d’exécution peut être détourné. Le code choisi par l’attaquant s’exécute ensuite sur la plateforme PAN-OS. L’élément le plus préoccupant tient au niveau de privilèges : le service fonctionne avec les droits root. Une exploitation réussie donne donc un contrôle total sur le pare-feu.

Palo Alto Networks indique que l’exploitation est automatisable. L’entreprise confirme aussi des attaques limitées contre des portails d’authentification accessibles depuis des adresses IP non fiables ou directement depuis Internet. Le score CVSS atteint 9,3 lorsque le portail est exposé à un réseau non maîtrisé. Il descend à 8,7 lorsque l’accès est limité à des adresses internes de confiance, conformément aux bonnes pratiques de l’éditeur.

La surface d’exposition reste importante. Shadowserver suit plus de 5 800 pare-feu PAN-OS VM-Series visibles en ligne. La majorité se trouve en Asie, avec 2 466 systèmes recensés, puis en Amérique du Nord, avec 1 998 équipements. Ces chiffres ne prouvent pas que tous les systèmes soient exploitables, car la vulnérabilité dépend de l’activation du portail concerné. Ils donnent toutefois une mesure du risque sur des équipements de bordure.

Les produits touchés sont les pare-feu PA-Series et VM-Series. Prisma Access, Cloud NGFW et Panorama ne sont pas affectés, selon les informations fournies. Les versions vulnérables couvrent plusieurs branches de PAN-OS : 12.1, 11.2, 11.1 et 10.2, dès lors que le portail User-ID Authentication Portal est activé. La configuration se vérifie dans Device, User Identification, Authentication Portal Settings, Enable Authentication Portal.

Identifiez vos angles morts informatiques avant que les pirates ne le fassent !
Identifiez vos angles morts informatiques avant que les pirates ne le fassent !

Un zero-day sans patch, avec contournements immédiats

Le caractère zero-day de CVE-2026-0300 place les équipes de sécurité dans une fenêtre de risque contrainte. Aucun correctif n’est disponible au moment de l’alerte. Palo Alto Networks prévoit une première série de hotfixes autour du 13 mai 2026, puis une seconde vers le 28 mai. Jusqu’à leur publication, la réduction de surface d’attaque constitue la mesure centrale.

La première action consiste à restreindre immédiatement l’accès au portail d’authentification. Les règles de filtrage doivent limiter le service User-ID Authentication Portal aux seules adresses IP et zones internes jugées fiables. Un portail exposé à Internet, ou à un réseau non approuvé, crée une cible directe pour une attaque distante sans authentification.

La deuxième mesure consiste à désactiver le portail lorsqu’il n’est pas nécessaire. Les organisations qui n’utilisent pas activement cette fonction peuvent la couper depuis Device, User Identification, Authentication Portal Settings, Disable Authentication Portal. Cette décision réduit le risque à la source, car le composant vulnérable n’est alors plus accessible.

Pour les environnements sous PAN-OS 11.1 et versions supérieures, Palo Alto Networks a publié une signature Threat Prevention d’urgence. Elle vise à bloquer les schémas d’exploitation connus, sous réserve d’un abonnement actif. Cette protection ne remplace pas un correctif, car les signatures peuvent être contournées ou rester incomplètes face à des variantes. Elle ajoute cependant une couche utile pendant la période d’attente.

La surveillance doit aussi être renforcée. Les journaux du pare-feu doivent être examinés pour repérer des accès inhabituels au portail d’authentification, des exécutions de processus inattendues ou des communications vers des infrastructures externes inconnues. Un pare-feu compromis avec droits root représente bien plus qu’un équipement isolé. Il peut offrir une visibilité sur les flux, faciliter la reconnaissance interne et ouvrir des chemins de mouvement latéral.

Cette vulnérabilité correspond au profil recherché par des groupes persistants avancés et des opérateurs de rançongiciels : un équipement de bordure, une exécution de code avant authentification et un accès complet aux flux réseau. Tenable attribue à CVE-2026-0300 un score de base de 10,0, soit le maximum possible. Le catalogue CISA Known Exploited Vulnerabilities répertorie déjà 13 vulnérabilités touchant des produits Palo Alto, même si CVE-2026-0300 n’y figure pas encore dans les informations fournies.

L’équation défensive est claire : réduire l’exposition avant la publication des hotfixes, appliquer les signatures disponibles, puis installer les correctifs dès leur diffusion.

Étiquetté :
Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.

Articles similiares

Fausses invitations de concert, espionnage contre l’armée russe
2 janvier 2026
Les adresses IP ukrainiennes volées, angle mort européen
30 décembre 2025
IDFKA, la porte dérobée en Rust qui vise les télécoms russes
7 décembre 2025
Les hacktivistes intensifient leurs attaques contre les infrastru ...
5 novembre 2025
Cybercriminalité en 2024 : Les vrais chiffres de la France sous s ...
6 juillet 2025
Cyberattaque dans les Hauts-de-Seine : la menace invisible qui pa ...
21 mai 2025
Cyberattaque chez Co-op : les révélations accablantes des pirates
10 mai 2025
Cyberattaque sur le bureau du procureur général de Virginie : le ...
27 mars 2025
Rakuten face à une vague d’escroqueries par hameçonnage : les cli ...
27 mars 2025

Répondre

Nos partenaires

Actualités du mois

mai 2026
L M M J V S D
 123
45678910
11121314151617
18192021222324
25262728293031

Articles en UNE

Actus zataz

Réseaux sociaux

Facebook21,615FansJ'aimeX (Twitter)25,823AbonnésSuivreInstagram17,539AbonnésSuivrePinterest15,260AbonnésEpinglerYoutube8,922AbonnésS'abonnerTiktok4,205AbonnésSuivreTelegram1,203MembresRejoindreSoundcloud15,259AbonnésSuivreVimeo25,096AbonnésSuivreDribbble15,260AbonnésSuivre

Liste des sujets

<!-- Cyber'Émission ZATAZ — badge volant (déplaçable) + réduire/fermer -->
<div class="zataz-yt-float" id="zatazYtFloat" role="region" aria-label="Cyber'Émission ZATAZ">
  <div class="zataz-yt-float__bar" id="zatazYtBar">
    <span class="zataz-yt-float__title">Cyber'Émission ZATAZ</span>

    <div class="zataz-yt-float__actions">
      <button type="button" class="zataz-yt-float__btn" id="zatazYtMin" aria-label="Réduire">—</button>
      <button type="button" class="zataz-yt-float__btn zataz-yt-float__btn--close" id="zatazYtClose" aria-label="Fermer">×</button>
    </div>
  </div>

  <a class="zataz-yt-badge" href="https://www.youtube.com/@ZATAZCOM" target="_blank" rel="noopener noreferrer"
     aria-label="Regarder Cyber'Émission ZATAZ sur YouTube (nouvel onglet)">
    <span class="zataz-yt-badge__thumb" aria-hidden="true">
      <span class="zataz-yt-badge__play" aria-hidden="true"></span>
    </span>
  </a>
</div>

<style>
  .zataz-yt-float{
    position:fixed;
    right:18px;
    bottom:18px;
    z-index:99999;
    width:320px;
    max-width:calc(100vw - 36px);
    border-radius:14px;
    overflow:hidden;
    background:linear-gradient(135deg,#111827,#0b1220 55%,#111827);
    border:1px solid rgba(255,255,255,.12);
    box-shadow:0 14px 40px rgba(0,0,0,.35);
    transform:translateZ(0);
    user-select:none;
    touch-action:none; /* drag mobile */
  }

  /* Barre de drag + boutons */
  .zataz-yt-float__bar{
    display:flex;
    align-items:center;
    justify-content:space-between;
    gap:10px;
    padding:10px 10px 10px 12px;
    font-family:system-ui,-apple-system,Segoe UI,Roboto,Arial,sans-serif;
    color:#fff;
    background:rgba(0,0,0,.18);
    border-bottom:1px solid rgba(255,255,255,.10);
    cursor:grab;
  }
  .zataz-yt-float__bar:active{ cursor:grabbing; }
  .zataz-yt-float__title{
    font-weight:800;
    letter-spacing:.2px;
    font-size:15px;
    line-height:1;
    white-space:nowrap;
    overflow:hidden;
    text-overflow:ellipsis;
  }
  .zataz-yt-float__actions{ display:flex; gap:8px; }
  .zataz-yt-float__btn{
    appearance:none;
    border:1px solid rgba(255,255,255,.18);
    background:rgba(0,0,0,.28);
    color:#fff;
    width:32px;
    height:28px;
    border-radius:10px;
    font-weight:900;
    line-height:1;
    cursor:pointer;
    display:grid;
    place-items:center;
  }
  .zataz-yt-float__btn:hover{ background:rgba(255,255,255,.08); border-color:rgba(255,255,255,.28); }
  .zataz-yt-float__btn--close:hover{ background:rgba(239,68,68,.22); border-color:rgba(239,68,68,.45); }

  /* Contenu (votre vignette) */
  .zataz-yt-badge{
    display:block;
    text-decoration:none;
    color:#fff;
  }
  .zataz-yt-badge__thumb{
    display:block;
    height:180px;
    background:#0f172a url("https://i.ytimg.com/vi/HUo8dnD6Swk/hqdefault.jpg") center/cover no-repeat;
    position:relative;
  }
  .zataz-yt-badge__play{
    position:absolute;
    left:50%;
    top:50%;
    width:54px;
    height:54px;
    margin:-27px 0 0 -27px;
    border-radius:999px;
    background:rgba(0,0,0,.55);
    border:1px solid rgba(255,255,255,.25);
    box-shadow:0 10px 22px rgba(0,0,0,.35);
  }
  .zataz-yt-badge__play:before{
    content:"";
    position:absolute;
    left:22px;
    top:16px;
    width:0;height:0;
    border-top:11px solid transparent;
    border-bottom:11px solid transparent;
    border-left:16px solid #fff;
  }

  .zataz-yt-float:hover{
    box-shadow:0 18px 55px rgba(0,0,0,.45);
    border-color:rgba(255,255,255,.18);
  }
  .zataz-yt-badge:active{ transform:scale(.99); }

  /* Etat réduit */
  .zataz-yt-float.is-min .zataz-yt-badge{ display:none; }
  .zataz-yt-float.is-min{ width:260px; }

  /* Mobile : plus compact */
  @media (max-width:480px){
    .zataz-yt-float{ width:280px; right:12px; bottom:12px; }
    .zataz-yt-badge__thumb{ height:158px; }
    .zataz-yt-float.is-min{ width:220px; }
  }
</style>

<script>
(() => {
  const box = document.getElementById('zatazYtFloat');
  const bar = document.getElementById('zatazYtBar');
  const btnMin = document.getElementById('zatazYtMin');
  const btnClose = document.getElementById('zatazYtClose');

  if (!box || !bar || !btnMin || !btnClose) return;

  // Réduire / restaurer
  btnMin.addEventListener('click', (e) => {
    e.stopPropagation();
    box.classList.toggle('is-min');
    btnMin.textContent = box.classList.contains('is-min') ? '▢' : '—';
    btnMin.setAttribute('aria-label', box.classList.contains('is-min') ? 'Restaurer' : 'Réduire');
  });

  // Fermer
  btnClose.addEventListener('click', (e) => {
    e.stopPropagation();
    box.remove();
  });

  // Drag (souris + tactile) via Pointer Events
  let dragging = false;
  let startX = 0, startY = 0;
  let startLeft = 0, startTop = 0;

  // Position initiale: on convertit right/bottom en left/top pour le drag
  const init = () => {
    const r = box.getBoundingClientRect();
    box.style.left = r.left + 'px';
    box.style.top  = r.top  + 'px';
    box.style.right = 'auto';
    box.style.bottom = 'auto';
  };
  init();

  const clamp = (v, min, max) => Math.min(Math.max(v, min), max);

  bar.addEventListener('pointerdown', (e) => {
    // pas de drag quand on clique sur les boutons
    if (e.target === btnMin || e.target === btnClose) return;

    dragging = true;
    bar.setPointerCapture(e.pointerId);

    const r = box.getBoundingClientRect();
    startX = e.clientX;
    startY = e.clientY;
    startLeft = r.left;
    startTop = r.top;

    e.preventDefault();
  });

  bar.addEventListener('pointermove', (e) => {
    if (!dragging) return;

    const dx = e.clientX - startX;
    const dy = e.clientY - startY;

    const r = box.getBoundingClientRect();
    const w = r.width;
    const h = r.height;

    const maxLeft = window.innerWidth - w - 8;
    const maxTop  = window.innerHeight - h - 8;

    box.style.left = clamp(startLeft + dx, 8, maxLeft) + 'px';
    box.style.top  = clamp(startTop + dy, 8, maxTop) + 'px';
  });

  const endDrag = () => { dragging = false; };
  bar.addEventListener('pointerup', endDrag);
  bar.addEventListener('pointercancel', endDrag);

  // Re-clamp au resize
  window.addEventListener('resize', () => {
    const r = box.getBoundingClientRect();
    const maxLeft = window.innerWidth - r.width - 8;
    const maxTop  = window.innerHeight - r.height - 8;
    box.style.left = clamp(r.left, 8, maxLeft) + 'px';
    box.style.top  = clamp(r.top, 8, maxTop) + 'px';
  });
})();
</script>