Une faille critique touche le portail d’authentification User-ID de PAN-OS et permet une exécution de code à distance avec les droits root. Palo Alto Networks confirme des attaques en cours, mais les correctifs ne sont pas encore disponibles.
Palo Alto Networks vient de tirer la sonnette d’alarme sur une faille déjà exploitée dans ses pare-feu. Référencée CVE-2026-0300, elle touche PAN-OS et concerne des équipements accessibles depuis des adresses IP non fiables ou depuis Internet. Elle affecte le portail d’authentification User-ID, aussi appelé Captive Portal, utilisé lorsque le pare-feu ne parvient pas à associer automatiquement une identité à un utilisateur ou une utilisatrice. Aucun patch n’est encore disponible, ce qui doit conduire les administrateurs réseau à limiter l’accès au portail vulnérable aux seules zones de confiance, ou à le désactiver s’il n’est pas nécessaire.
Une faille critique exploitable sans identifiants
Affublée d’un score CVSS de 9.3, CVE-2026-0300 entre dans la catégorie des vulnérabilités critiques. Palo Alto la décrit comme un dépassement de tampon dans le portail d’authentification User-ID de PAN-OS, soit une erreur de gestion de la mémoire susceptible de provoquer un comportement imprévu du système. Dans ce cas précis, l’exploitation peut être déclenchée à distance par l’envoi de paquets spécialement conçus, sans identifiant, sans privilège préalable, et sans interaction de la part d’un utilisateur ou d’une utilisatrice.
En cas d’exploitation réussie, un attaquant peut exécuter du code arbitraire avec les privilèges root sur l’équipement ciblé. Dans le cas d’un pare-feu, la portée d’un tel accès est particulièrement sensible, puisqu’il ne s’agit pas d’un simple service périphérique, mais d’un équipement chargé de filtrer et contrôler une partie des échanges réseau. Palo Alto indique avoir observé une exploitation limitée de la faille, concentrée sur des portails User-ID exposés à des adresses non fiables ou au web public.
Toutes les solutions de l’éditeur ne sont pas touchées. La faille concerne les pare-feu PA-Series et VM-Series exécutant une version vulnérable de PAN-OS, tandis que Prisma Access, Cloud NGFW et Panorama sont a priori épargnés.
Au moins une semaine à tenir sans correctif
Il n’existe, pour le moment, aucun patch destiné à colmater la faille. Les premières versions corrigées de PAN-OS sont annoncées pour le 13 mai 2026, tandis que d’autres branches devront patienter jusqu’au 28 mai. Les organisations concernées vont donc devoir composer pendant plusieurs jours, parfois plusieurs semaines, avec une faille critique déjà exploitée et impossible à neutraliser par une simple mise à jour.
La réponse passe, pour l’instant, par la configuration des équipements. Palo Alto Networks recommande de vérifier si le portail User-ID est activé dans Device > User Identification > Authentication Portal Settings > Enable Authentication Portal, puis de restreindre son accès aux seules zones de confiance. Lorsque le portail n’est pas nécessaire, l’éditeur conseille de le désactiver le temps que les correctifs soient disponibles.
Cette nouvelle alerte s’inscrit dans une période déjà chargée pour Palo Alto Networks. En 2024, plusieurs vulnérabilités PAN-OS avaient été exploitées contre des interfaces d’administration web exposées, avant de nouvelles tentatives d’exploitation observées début 2025. Fin 2025, les portails GlobalProtect et les passerelles VPN de Palo Alto avaient aussi été visés par une vague de tentatives de connexion, preuve que ces accès périphériques restent étroitement surveillés par les attaquants.
Le Captive Portal User-ID est un mécanisme d’authentification utilisé par PAN-OS pour associer une identité (utilisateur/groupe) à un flux réseau quand l’identification automatique ne suffit pas. Concrètement, il peut rediriger l’utilisateur vers une page de connexion, puis injecter cette identité dans les politiques de sécurité (règles basées sur l’utilisateur). C’est pratique sur des réseaux où l’IP ne correspond pas toujours à une personne (Wi‑Fi, postes partagés, DHCP, etc.). En contrepartie, s’il est exposé à Internet ou à des zones non fiables, il devient une surface d’attaque supplémentaire, au même titre qu’une interface web sensible.
Que signifie “dépassement de tampon” (buffer overflow) et pourquoi cela peut mener à une exécution de code à distance ?Un dépassement de tampon survient quand un programme écrit plus de données que la zone mémoire prévue, ce qui peut écraser des informations adjacentes. Selon le contexte, un attaquant peut façonner l’entrée (ici, des paquets réseau) pour perturber le flux d’exécution et détourner le programme vers du code choisi. C’est une classe de faille souvent critique dans des composants réseau, car elle peut être déclenchée à distance et sans compte, si le service vulnérable est accessible. Les protections modernes (ASLR, DEP, canaris de pile) compliquent l’exploitation, mais ne l’empêchent pas toujours, surtout sur des appliances où certains composants sont contraints par la performance ou la compatibilité.
Pourquoi une exécution de code “avec les droits root” sur un pare-feu est-elle particulièrement grave ?Root correspond au niveau de privilèges le plus élevé sur les systèmes de type Unix/Linux, ce qui donne en pratique le contrôle total de l’équipement. Sur un pare-feu, cela peut permettre de modifier les règles de filtrage, d’ouvrir des accès, d’espionner ou rediriger du trafic, voire d’implanter une porte dérobée persistante. L’attaquant peut aussi extraire des configurations sensibles (certificats, secrets, comptes) et s’en servir pour rebondir vers d’autres systèmes. Comme le pare-feu se situe sur un point de passage stratégique du réseau, une compromission root a souvent un impact disproportionné par rapport à un serveur applicatif classique.
