Palo Alto alerte sur une faille RCE de PAN-OS activement exploitée

Palo Alto Networks a averti ses clients que des attaquants exploitent déjà une vulnérabilité critique de PAN-OS, référencée CVE-2026-0300, qui peut permettre du remote code execution sans authentification avec des privilèges root sur des firewalls exposés. La faille touche le User-ID Authentication Portal, également appelé Captive Portal, sur les équipements PA-Series et VM-Series.

C'est le genre de problème de sécurité qui remonte immédiatement en tête de la file de patch en entreprise, même avant qu'un patch soit disponible. Un bug exploitable à distance dans un logiciel de firewall périmétrique est déjà grave en soi. Le fait que Palo Alto indique qu'une exploitation est en cours en fait un sujet de revue d'exposition à traiter dans la journée pour toute organisation exploitant des systèmes concernés avec le portal accessible depuis l'internet public ou un autre réseau non fiable.

Selon Palo Alto et les informations complémentaires publiées par BleepingComputer, la vulnérabilité est un buffer overflow dans le service Authentication Portal. L'entreprise explique qu'un attaquant non authentifié peut exécuter du code arbitraire en root en envoyant des packet spécialement conçus vers des instances exposées. BleepingComputer a également noté que Shadowserver suivait plus de 5 800 firewalls PAN-OS VM-Series exposés sur internet au moment de la publication, ce qui donne une idée du nombre d'environnements susceptibles de nécessiter une revue urgente.

Le risque immédiat dépend fortement de la configuration. Palo Alto précise que les systèmes les plus exposés sont ceux dont le User-ID Authentication Portal est accessible depuis des adresses IP non fiables ou depuis l'internet ouvert. Les organisations qui n'utilisent pas ce portal, ou qui l'ont déjà limité à des réseaux internes de confiance, sont mieux placées. Mais c'est exactement le type de fonctionnalité qui peut rester activée plus longtemps que les équipes ne l'imaginent, en particulier dans des modèles de firewall hérités ou d'anciens déploiements en agence.

Le point le plus inconfortable est que la faille n'est pas corrigée alors même que l'exploitation a déjà commencé. Les défenseurs ne bénéficient donc pas de la séquence habituelle, à savoir advisory, fenêtre de patch puis rollout maîtrisé. À la place, ils doivent d'abord identifier l'exposition puis réduire le risque via des restrictions d'accès ou la désactivation de la fonctionnalité. La recommandation de Palo Alto est de limiter l'Authentication Portal aux seules zones de confiance, ou de le désactiver complètement s'il n'est pas nécessaire.

Cela met aussi en lumière une tendance plus large en matière de sécurité. Le risque autour du firewall ne se limite plus au packet filtering ou aux interfaces d'administration. Les appliances de sécurité intègrent désormais des services d'identité, des captive portals, des composants de remote access et des fonctions de workflow qui élargissent la surface d'attaque autour de l'équipement lui-même. Lorsqu'un de ces services devient vulnérable, le firewall peut devenir le point d'entrée plutôt que la barrière.

Pour les défenseurs, la réponse doit être simple sur le plan opérationnel et rapide. Il faut inventorier les équipements PAN-OS, vérifier si l'Authentication Portal est activé, confirmer s'il est joignable depuis l'extérieur, restreindre immédiatement l'accès et se préparer à déployer les correctifs de Palo Alto dès qu'ils seront disponibles. Les équipes sécurité devraient aussi examiner les logs et la network telemetry à la recherche de requêtes inhabituelles visant le portal, surtout sur les appliances exposées à internet.

Tous les advisory critiques de sécurité ne méritent pas un article dédié. Celui-ci oui, car il réunit trois éléments qui restent rarement contenus longtemps : une infrastructure périmétrique exposée, du remote code execution sans authentification et une exploitation active confirmée. Pour les organisations qui utilisent des configurations PAN-OS affectées, ce n'est pas un risque de fond. C'est un vrai problème de prévention d'incident en cours.