Palo Alto Networks firewall zero-day exploited for nearly a month
Mis à jour :
Exploitation active de la faille Zero-Day sur les pare-feu Palo Alto Networks
Palo Alto Networks fait face à l’exploitation active d’une vulnérabilité critique de type “zero-day” touchant le portail d’authentification (Captive Portal) de ses pare-feu PAN-OS. Identifiée comme étant le fruit d’activités suspectées d’être soutenues par un État, cette campagne d’attaques dure depuis près d’un mois.
Points clés :
- Vecteur d’attaque : Les attaquants exploitent une faille de débordement de tampon (buffer overflow) pour obtenir une exécution de code à distance (RCE) avec les privilèges root.
- Méthodes des attaquants : Après l’intrusion, les assaillants nettoient minutieusement les journaux système pour effacer leurs traces, puis déploient des outils de tunnellisation réseau (EarthWorm et ReverseSocks5) pour établir des communications masquées et contourner les protections NAT/pare-feu.
- Ciblage : Plus de 5 400 pare-feu exposés sur Internet sont potentiellement vulnérables, principalement en Asie et en Amérique du Nord.
- Impact : La faille concerne les modèles PA-Series et VM-Series, mais n’impacte pas les solutions Cloud NGFW ou Panorama.
Vulnérabilité :
- CVE-2026-0300 : Faille critique de type exécution de code à distance (RCE) via le portail d’authentification User-ID.
Recommandations :
- Attente de correctif : Les mises à jour logicielles sont prévues pour le 13 mai 2026.
- Mesures d’atténuation immédiates :
- Restreindre l’accès au portail d’authentification uniquement aux zones réseau de confiance.
- Désactiver le portail d’authentification si son usage n’est pas strictement nécessaire (accessible via : Device > User Identification > Authentication Portal Settings).
- Conformité : La CISA a intégré cette vulnérabilité à son catalogue des menaces connues (KEV) et impose aux agences fédérales américaines une sécurisation urgente des équipements exposés.