PAN-OS RCE Exploit Under Active Use Enabling Root Access and Espionage

Exploitation active de la faille critique RCE dans PAN-OS

Une campagne d’espionnage informatique, attribuée au groupe suspecté d’être soutenu par un État CL-STA-1132, cible activement les équipements Palo Alto Networks via une vulnérabilité critique. Les attaquants utilisent des outils open-source (EarthWorm, ReverseSocks5) et des techniques d’effacement de logs pour maintenir une présence discrète et effectuer de l’énumération Active Directory.

Points clés :

• Vecteur d’attaque : Exploitation via des paquets réseau spécialement conçus envoyés vers le portail d’authentification User-ID.
• Modus Operandi : Injection de shellcode dans le processus nginx pour obtenir un accès root, suivie d’une phase de nettoyage des traces (suppression des fichiers de crash et logs).
• Cible : Les équipements de bordure réseau, privilégiés par les acteurs étatiques pour leur accès hautement privilégié et leur faible niveau de journalisation comparativement aux terminaux classiques.

Vulnérabilité :

• CVE-2026-0300 : Débordement de tampon dans le service d’authentification User-ID de PAN-OS (Score CVSS : 9.3/8.7). Permet l’exécution de code arbitraire avec les privilèges root sans authentification.

Recommandations :

• Restriction d’accès : Limiter l’accès au portail d’authentification User-ID aux zones de confiance, ou le désactiver s’il n’est pas utilisé.
• Configuration de sécurité : Désactiver les pages de réponse (Response Pages) dans le profil de gestion d’interface pour toute interface L3 exposée au trafic non fiable ou à Internet.
• Protection avancée : Pour les clients disposant de l’option Advanced Threat Prevention, activer la signature Threat ID 510019 (contenu version 9097-10022).
• Mise à jour : Appliquer les correctifs de sécurité dès leur disponibilité (prévue à partir du 13 mai 2026).

Source