Une faille zero-day critique dans Palo Alto PAN-OS exploitée activement

Les attaquants exploitent activement une vulnérabilité zero-day affectant les pare-feux Palo Alto Networks, selon un avis publié par l'éditeur mardi. Cette faille critique de corruption mémoire, référencée CVE-2026-0300, touche le portail d'authentification de PAN-OS et permet aux attaquants non authentifiés d'exécuter du code avec des privilèges root sur les modèles PA-Series et VM-Series.

Palo Alto Networks n'a pas précisé quand ni comment elle a découvert cette exploitation active, ni la date de la première exploitation connue. L'Agence américaine de cybersécurité (CISA) a ajouté cette faille à son catalogue des vulnérabilités exploitées, le mercredi suivant.

L'éditeur n'a pas encore publié de correctif ni détaillé l'ampleur ou les objectifs des attaques confirmées. Selon un porte-parole de Palo Alto Networks :

« Cette vulnérabilité concerne un nombre limité de clients dont le portail d'authentification User-ID (Captive Portal) est exposé à Internet ou à des adresses IP non fiables. Nous avons observé une exploitation limitée de cette faille et travaillons à la publication de correctifs. Les premières mises à jour sont prévues pour le 13 mai. »

La faille, classée CVSS 9,3, est largement répandue dans les environnements réels. Palo Alto Networks a confirmé que la complexité de l'attaque est faible. Les scans de Shadowserver ont révélé plus de 5 800 pare-feux VM-Series exposés publiquement sous PAN-OS, mais on ignore combien d'entre eux restreignent l'accès au portail d'authentification ou l'ont désactivé.

L'éditeur a fourni des recommandations de mitigation immédiate à ses clients. Il précise que la faille n'affecte ni les appliances Cloud NGFW ni Panorama.

« Nous restons engagés dans une approche transparente et axée sur la sécurité pour protéger notre base de clients mondiale. »

Réactions des experts

Benjamin Harris, PDG et fondateur de watchTowr, a souligné que Palo Alto Networks a alerté ses clients de manière proactive, permettant aux défenseurs d'agir sur les instances potentiellement exposées.

« Dans une situation difficile, c'est la meilleure action immédiate possible. Cependant, cela alerte également tout le monde sur l'existence de la faille. »

Palo Alto Networks et ses clients impactés sont les seuls à avoir observé une exploitation en conditions réelles, mais les chercheurs avertissent que cela pourrait changer rapidement.

« Il est probable que des règles commencent à se déclencher dans des organisations tierces et des pots de miel sous peu. »

« Les interfaces de gestion, les pages de connexion et les portails d'authentification sont des cibles fréquentes pour les campagnes opportunistes ou ciblées ces dernières années. Avec l'attention des chercheurs et de la communauté sur cette vulnérabilité, il est probable que nous assistions rapidement à l'apparition d'exploits publics et à une exploitation plus large, à condition que la faille ne soit pas trop complexe à exploiter. »

À ce jour, Palo Alto Networks n'a attribué les attaques à aucun groupe de menace connu, ni publié d'indicateurs de compromission ou révélé le type d'organisations ciblées. Les chercheurs continuent de traquer les activités malveillantes et recommandent aux clients d'appliquer les correctifs dès leur disponibilité.