Palo Alto Networks alerte ses clients sur l’exploitation d’une vulnérabilité zero-day critique dans le logiciel PAN-OS par des hackers soupçonnés d’être soutenus par un État.
Cette faille de sécurité, identifiée sous le numéro CVE-2026-0300, affecte le portail d’authentification User-ID de PAN-OS, aussi appelé Captive Portal. Elle provient d’un débordement de tampon qui permet à des attaquants non authentifiés d’exécuter du code arbitraire avec des privilèges root sur les pare-feu PA-Series et VM-Series exposés sur Internet.
Exploitation observée par Unit 42
L’équipe Unit 42 de Palo Alto Networks suit cette activité sous le nom de cluster CL-STA-1132. Les attaques ont débuté par des tentatives infructueuses le 9 avril 2026 contre un appareil PAN-OS. Une semaine plus tard, les intrus ont réussi un exécution de code à distance non authentifiée, en injectant du shellcode. Ils ont ensuite effacé les traces en supprimant les messages du noyau de crash, les entrées de crash nginx et les fichiers de vidage de mémoire.
Après la compromission, les assaillants ont installé les outils open-source Earthworm et ReverseSocks5 pour créer des tunnels réseau. Earthworm facilite les communications discrètes à travers des réseaux restreints, tandis que ReverseSocks5 contourne les NAT et pare-feu via une connexion sortante vers un serveur de contrôle. Earthworm apparaît dans des opérations liées aux groupes CL-STA-0046, Volt Typhoon, UAT-8337 et APT41.
Pare-feu Palo Alto Networks VM-series exposés en ligne (Shadowserver)
Shadowserver recense plus de 5 400 pare-feu VM-Series PAN-OS accessibles sur Internet, principalement en Asie (2 466) et en Amérique du Nord (1 998).
Absence de correctifs et mesures recommandées
La vulnérabilité n’affecte ni les appliances Cloud NGFW ni Panorama. Palo Alto Networks prépare des mises à jour, dont les premières arriveront le 13 mai. En attendant, l’entreprise préconise de limiter l’accès au portail d’authentification User-ID aux zones fiables ou de le désactiver si possible.
Les administrateurs vérifient la configuration vulnérable via la page Device > User Identification > Authentication Portal Settings > Enable Authentication Portal.
Intervention de la CISA
Mercredi, la CISA a inscrit la CVE-2026-0300 dans son catalogue des vulnérabilités exploitées connues (KEV Catalog). Elle a ordonné aux agences fédérales civiles américaines (FCEB) de sécuriser leurs pare-feu vulnérables d’ici le 9 mai minuit.
Ces attaques s’inscrivent dans une série d’opérations visant les équipements périphériques comme les pare-feu, hyperviseurs, routeurs et logiciels VPN, souvent dépourvus de journaux et protections avancées. En février, la CISA a émis la directive BOD 26-02, obligeant les agences gouvernementales américaines à retirer les dispositifs périphériques sans mises à jour de sécurité.