Palo Alto Networks a alerté ses clients sur l’exploitation active d’une faille critique non corrigée dans le portail d’authentification User-ID de PAN-OS.
Ce composant, également appelé Captive Portal, sert à vérifier l’identité des utilisateurs non reconnus automatiquement par le pare-feu.
Détails techniques de la vulnérabilité
Identifiée sous le nom CVE-2026-0300, cette faille zero-day provient d’un débordement de tampon. Elle permet à des attaquants non authentifiés d’exécuter du code arbitraire avec des privilèges root sur des pare-feu PA-Series et VM-Series exposés sur Internet, via des paquets malveillants.
L’entreprise précise que des cas limités d’exploitation visent des portails User-ID accessibles depuis des adresses IP non fiables ou l’Internet public.

Mesures de protection immédiates
Les administrateurs suivent les bonnes pratiques en limitant l’accès des portails sensibles aux réseaux internes de confiance, ce qui réduit fortement les risques.
Shadowserver recense plus de 5 800 pare-feu VM-Series exposés en ligne, principalement en Asie (2 466) et en Amérique du Nord (1 998).
Pour vérifier la configuration, les admins consultent la page User-ID Authentication Portal Settings sous Device > User Identification. Palo Alto Networks prépare un correctif et conseille de restreindre l’accès à des zones fiables ou de désactiver le portail sinon.
Contexte d’attaques récurrentes
Les pare-feu PAN-OS subissent souvent des assauts exploitant des zero-days. En novembre 2024, Shadowserver a détecté des milliers de compromis via deux failles enchaînées, bien que limités selon l’éditeur.
Un mois plus tard, une faille DoS forçait le redémarrage de PA-Series, VM-Series et CN-Series. En février, trois autres vulnérabilités ciblaient les interfaces de gestion exposées.
Les solutions de Palo Alto Networks équipent plus de 70 000 clients dans le monde, dont 90 % des entreprises du Fortune 10 et la plupart des grandes banques américaines.
