Palo Alto Networks confirme l’exploitation active d’une faille touchant GlobalProtect, son service VPN intégré à PAN-OS. La vulnérabilité permet de contourner l’authentification et d’établir des connexions VPN non autorisées.
Corrigée depuis mai, CVE-2026-0257 fait à nouveau parler d’elle, et pas pour les bonnes raisons. Les chercheurs de Rapid7 et Palo Alto Networks indiquent avoir observé des tentatives d’exploitation actives visant des portails et passerelles GlobalProtect accessibles depuis Internet. Les attaques semblent limitées, et aucun mouvement latéral n’a été identifié pour l’instant. Mais la vulnérabilité touche un composant placé à l’entrée du réseau des entreprises, et les équipements concernés doivent être corrigés sans délai.
Sponsorisé
Votre petite entreprise a de grandes ambitions. Protégez-là contre les pirates. Et développez sereinement votre activité !
Sponsorisé
Des connexions VPN GlobalProtect établies sans identifiants valides
Dans le détail, CVE-2026-0257 touche les composants portail et passerelle GlobalProtect de PAN-OS, chargés de gérer les connexions VPN des utilisateurs et utilisatrices autorisés à rejoindre le réseau de leur organisation à distance.
Dans les configurations vulnérables, un attaquant peut contourner les contrôles d’authentification et initier une session VPN sans disposer d’identifiants valides. Selon les règles d’accès appliquées, cette connexion peut ensuite lui ouvrir l’accès à des ressources internes, faciliter la reconnaissance du réseau ou servir d’appui à d’autres actions si des services sensibles sont joignables depuis le VPN.
L’exploitation aurait débuté le 17 mai dernier. Selon Palo Alto Networks, les attaquants ont surtout sondé des équipements accessibles depuis Internet, et seule une petite partie de ces tentatives a vraiment abouti à l’établissement de sessions VPN. L’éditeur précise aussi ne pas avoir relevé, pour l’heure, d’activité au-delà de la connexion initiale dans les environnements touchés.
La faille affecte plusieurs branches de PAN-OS, dont les versions 10.2, 11.1, 11.2 et 12.1, ainsi que des déploiements Prisma Access. Panorama et Cloud NGFW ne sont pas concernés par cette vulnérabilité.
Des correctifs à appliquer, des connexions VPN à vérifier
La priorité reste le déploiement des mises à jour de sécurité publiées par Palo Alto Networks. Les équipements GlobalProtect accessibles depuis Internet doivent être traités en premier, notamment lorsque la configuration autorise la réutilisation d’une authentification déjà validée (override cookie) ou que Cloud Authentication Service n’est pas activé.
Il faut ensuite passer les journaux GlobalProtect au crible. Palo Alto recommande de rechercher les événements de type gateway-connected associés aux indicateurs de compromission publiés. L’éditeur invite également les administrateurs à repérer deux valeurs de configuration suspectes observées dans les connexions liées à l’exploitation, à savoir un champ endpoint_os_version renseigné avec Microsoft Windows 10 Pro 64-bit et un champ source_user_info.domain vide.
Enfin, les connexions suspectes doivent être isolées, les sessions révoquées et les comptes associés vérifiés. En cas de doute, la rotation des secrets liés aux accès VPN et la revue des règles d’accès internes permettront de limiter les dégâts si une connexion non autorisée a bien été établie.
