Palo Alto Networks : une vulnérabilité critique affecte PAN-OS

Palo Alto Networks vient d'alerter publiquement sur une vulnérabilité affecté ses pare-feu des séries PA et VM, et plus particulièrement leur portail d'authentification.

Référencée CVE-2026-0300, cette vulnérabilité permet à un attaquant non authentifié d'exécuter du code arbitraire avec des privilèges root sur les dispositifs affectés en envoyant des paquets spécialement conçus. La criticité réside dans l'obtention de contrôle total sur des équipements fondamentaux de l'infrastructure réseau.

La faille est un débordement de tampon au sein du service d'authentification. Ce mécanisme permet à un attaquant, sans nécessiter d'identification préalable, de surcharger une zone mémoire allouée. Cette surcharge est exploitée pour forcer l'exécution de code malveillant par le système d'exploitation du pare-feu, conférant ainsi des droits root à l'attaquant. 

La mitigation principale passe par la mise à jour vers les versions corrigées de PAN-OS. En attendant, des mesures défensives doivent être appliquées rigoureusement. Si le portail d'authentification User-ID n'est pas nécessaire au fonctionnement métier, sa désactivation constitue une mesure de réduction de risque immédiate. Plus généralement, il est impératif de restreindre l'accès à ce portail aux seules adresses IP internes de confiance, comme le rappelle l'équipementier, qui souligne que l'exploitation de la vulnérabilité CVE-2026-0300 a été observée.

L'exposition de telles interfaces est particulièrement dangereuse. L'Agence nationale de la sécurité des systèmes d’information (Anssi) a souligné, à plusieurs reprises, que « l’exposition d’une interface d’administration sur Internet est contraire aux bonnes pratiques ».