Palo Alto GlobalProtect VPN auth bypass flaw now exploited in attacks

Exploitation active de la faille critique dans Palo Alto GlobalProtect

Des attaquants exploitent activement une vulnérabilité de contournement d’authentification dans les passerelles et portails GlobalProtect de Palo Alto Networks. Cette faille permet aux pirates d’établir des connexions VPN non autorisées en usurpant des identités. Initialement classée comme risque modéré, la menace est désormais considérée comme élevée en raison de son utilisation concrète sur des systèmes non corrigés.

Points clés :

• Mécanisme d’attaque : Les attaquants utilisent des cookies d’authentification forgés pour accéder aux comptes administrateur locaux sans connaître les identifiants réels.
• Origine de la faille : Le système valide les cookies d’authentification sans vérification de signature. Si le certificat utilisé pour les services HTTPS est identique à celui des cookies, un attaquant peut extraire la clé publique pour générer ses propres cookies valides.
• État de la menace : La vulnérabilité est intégrée au catalogue KEV (Known Exploited Vulnerabilities) de la CISA. Bien que l’accès au réseau interne soit possible, aucune preuve de mouvement latéral réussi n’a été observée à ce jour.

Vulnérabilité :

• CVE-2026-0257 : Contournement d’authentification sur PAN-OS.

Recommandations :

• Application des correctifs : Installer immédiatement les dernières mises à jour de sécurité fournies par Palo Alto Networks.
• Atténuation immédiate : Désactiver la fonction “authentication override” (dérogation d’authentification) si la mise à jour n’est pas possible.
• Configuration sécurisée : Utiliser des certificats distincts pour les services HTTPS et pour les cookies d’authentification afin d’éviter le partage de clés sensibles.

Source