Le 6 mai 2026, Palo Alto Networks a publié un avis critique pour CVE-2026-0300 (CVSS 9.8), un buffer overflow dans le service User-ID Authentication Portal (aussi connu comme Captive Portal) de PAN-OS. L'exploitation permet à un attaquant non authentifié d'exécuter du code arbitraire en tant que root sur les firewalls PA-Series et VM-Series, simplement en envoyant des paquets spécialement conçus. La vulnérabilité a été ajoutée au catalogue CISA KEV le jour même — preuve que l'exploitation est déjà observée dans la nature ou jugée imminente.
Si vous exposez l'Authentication Portal sur Internet ou même sur des segments réseau de confiance partielle, considérez vos firewalls comme potentiellement compromis tant que le patch n'est pas appliqué.
Détails techniques
Composant vulnérable
Le User-ID Authentication Portal est le mécanisme par lequel PAN-OS authentifie les utilisateurs avant de leur attribuer une politique réseau (mapping IP→User). Il prend la forme d'un portail web sur lequel l'utilisateur saisit ses identifiants, ou d'une intégration transparente avec Kerberos/NTLM.
Une fonction de parsing dans le service traitant les paquets reçus par le portail souffre d'un buffer overflow : une chaîne d'entrée mal bornée écrase la pile, permettant à un attaquant de détourner le flux d'exécution.
Caractéristiques
| Champ | Valeur |
|---|---|
| CVSS 3.1 | 9.8 (CRITICAL) |
| Vecteur | AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H |
| CWE | CWE-787 (Out-of-bounds Write) |
| Authentification | Aucune |
| CISA KEV | ✅ Ajoutée le 2026-05-06 (due date 2026-05-09) |
| Vendor | Palo Alto Networks |
Pourquoi le score 9.8 ?
PAN-OS s'exécute en tant que root sur les appliances. Une RCE non authentifiée donne un contrôle total sur le firewall — et par extension sur l'ensemble du trafic qu'il filtre.
Produits et versions affectés
| Produit | Versions affectées | Versions non impactées |
|---|---|---|
| PAN-OS sur PA-Series | 10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4 | Voir le bulletin officiel pour les versions corrigées |
| PAN-OS sur VM-Series | 10.2.0, 10.2.1, 10.2.2, 10.2.3, 10.2.4 | Idem |
| Prisma Access | ✅ Non impacté | — |
| Cloud NGFW | ✅ Non impacté | — |
| Panorama | ✅ Non impacté | — |
Vérifiez immédiatement votre version exacte via la WebUI (Dashboard → General Information → Software Version) ou via CLI :
show system info | match sw-version
Exploitation et impact
Conditions d'exploitation
L'attaquant doit pouvoir atteindre l'Authentication Portal sur le réseau. Selon votre configuration :
- Cas le plus dangereux : portail exposé sur une interface accessible depuis Internet (configuration courante pour le GlobalProtect SSL VPN combiné à Captive Portal)
- Cas intermédiaire : portail exposé sur des segments réseau internes (employés, prestataires, BYOD)
- Cas réduit : portail accessible uniquement depuis des IPs internes de confiance restreintes par les bonnes pratiques officielles
Conséquences post-compromission
Une RCE root sur un firewall PAN-OS donne à l'attaquant :
- Visibilité totale sur tout le trafic chiffré déchiffré par le firewall (SSL forward proxy)
- Capacité d'injection de règles malicieuses (autorisation de C2, désactivation de l'IPS pour certains hôtes)
- Pivot vers les zones de sécurité internes (passage du DMZ vers LAN sans contrainte)
- Désactivation des logs (effacement de traces de l'attaque, désactivation des envois vers le SIEM)
- Persistance durable via modification du firmware ou de la configuration
Ajout au CISA KEV
L'ajout immédiat au catalogue Known Exploited Vulnerabilities le 2026-05-06 indique que l'exploitation active a été observée par la CISA ou qu'elle est jugée hautement probable. Le délai de remédiation imposé aux agences fédérales américaines (FCEB) est exceptionnellement court : 2026-05-09, soit 3 jours après publication.
Détection et IOC
Logs PAN-OS à surveiller
# CLI : afficher les logs système récents
show log system direction equal backward
Indicateurs typiques d'une tentative d'exploitation :
- Crashs répétés du processus
user-idou du daemon de l'Authentication Portal (avec genération de core files) - Reboots inattendus du dataplane
- Présence de fichiers inhabituels dans
/tmp/,/var/tmp/,/opt/pancfg/ - Modifications dans
/opt/pancfg/mgmt/users(création de comptes admin)
Traces réseau
- Trafic vers le port de l'Authentication Portal (par défaut TCP 6080/6081/6082) depuis des IPs externes non typiques
- Paquets anormalement volumineux ou malformés vers ces ports
- Connexions sortantes du firewall vers des destinations inconnues (potentiel C2)
Règle Suricata
alert tcp any any -> $PANOS_PORTAL_IPS [6080,6081,6082] \
(msg:"Possible PAN-OS CVE-2026-0300 exploitation attempt — oversized payload"; \
dsize:>2048; threshold:type both,track by_src,count 5,seconds 60; \
sid:2026000300; rev:1;)
Audit de configuration
# Vérifier les administrateurs configurés
show config running mgt-config users
# Vérifier les sessions admin actives
show admins
Mitigation et patch
Action prioritaire : appliquer le patch officiel
Connectez-vous au portail support Palo Alto Networks et téléchargez la version corrigée pour votre branche. Procédure générique :
# Via WebUI
Device → Software → Download → [version corrigée] → Install → Reboot
# Via CLI
request system software download version <version-corrigée>
request system software install version <version-corrigée>
request restart system
Workaround officiel (si patch impossible immédiatement)
Le bulletin Palo Alto recommande la mesure suivante, qui réduit fortement le risque sans le supprimer :
Restreindre l'accès au User-ID Authentication Portal aux seules IPs internes de confiance en suivant les best practice guidelines officielles.
Pour ce faire :
- Identifiez la zone et l'interface portant le portail
- Créez ou modifiez la politique de sécurité applicable pour limiter
source-addressaux subnets internes - Si possible, désactivez totalement le portail si vous ne l'utilisez pas activement
# Vérifier l'activation du portail
show config running deviceconfig setting captive-portal
Hardening durable post-patch
- Activer le mode Strict Source Authentication sur l'Authentication Portal
- Auditer toutes les règles de politique qui s'appuient sur les mappings User-ID — un mapping falsifié post-exploitation peut bypasser une règle de filtrage
- Faire tourner les credentials de tous les comptes admin PAN-OS et des intégrations LDAP/SAML
- Vérifier l'intégrité de la configuration en la comparant à la dernière sauvegarde fiable
Pourquoi surveiller en continu votre parc de firewalls
Les firewalls périmétriques sont parmi les cibles les plus convoitées par les attaquants — une RCE root sur PAN-OS donne accès au cœur du trafic chiffré et à la configuration de sécurité. Le délai entre la publication du bulletin et l'ajout au KEV est ici de quelques heures : sans veille automatisée, vos firewalls peuvent être compromis avant même que vous ayez planifié la fenêtre de maintenance.
Avec cveo.tech, inventoriez votre parc Palo Alto, Fortinet, Cisco et autres firewalls et recevez un email automatique dès qu'une CVE critique (et a fortiori une CVE ajoutée au CISA KEV) cible une de vos versions exactes — pour patcher avant que l'exploit ne soit publié.