Palo Alto Networks alerte sur une faille zero-day d’exécution de code à distance dans ses pare-feu exploitée par des attaquants

Palo Alto Networks alerte sur une faille zero-day d'exécution de code à distance dans ses pare-feu exploitée par des attaquants

Palo Alto Networks a alerté ses clients sur l’exploitation active d’une faille critique non corrigée dans le portail d’authentification User-ID de PAN-OS.

Ce composant, également appelé Captive Portal, sert à vérifier l’identité des utilisateurs non reconnus automatiquement par le pare-feu.

Détails techniques de la vulnérabilité

Identifiée sous le nom CVE-2026-0300, cette faille zero-day provient d’un débordement de tampon. Elle permet à des attaquants non authentifiés d’exécuter du code arbitraire avec des privilèges root sur des pare-feu PA-Series et VM-Series exposés sur Internet, via des paquets malveillants.

L’entreprise précise que des cas limités d’exploitation visent des portails User-ID accessibles depuis des adresses IP non fiables ou l’Internet public.

Palo Alto Networks VM-series firewalls exposed online
VM-series firewalls exposed online (Shadowserver)

 

Mesures de protection immédiates

Les administrateurs suivent les bonnes pratiques en limitant l’accès des portails sensibles aux réseaux internes de confiance, ce qui réduit fortement les risques.

Shadowserver recense plus de 5 800 pare-feu VM-Series exposés en ligne, principalement en Asie (2 466) et en Amérique du Nord (1 998).

Pour vérifier la configuration, les admins consultent la page User-ID Authentication Portal Settings sous Device > User Identification. Palo Alto Networks prépare un correctif et conseille de restreindre l’accès à des zones fiables ou de désactiver le portail sinon.

Contexte d’attaques récurrentes

Les pare-feu PAN-OS subissent souvent des assauts exploitant des zero-days. En novembre 2024, Shadowserver a détecté des milliers de compromis via deux failles enchaînées, bien que limités selon l’éditeur.

Un mois plus tard, une faille DoS forçait le redémarrage de PA-Series, VM-Series et CN-Series. En février, trois autres vulnérabilités ciblaient les interfaces de gestion exposées.

Les solutions de Palo Alto Networks équipent plus de 70 000 clients dans le monde, dont 90 % des entreprises du Fortune 10 et la plupart des grandes banques américaines.