Exploitation active de la faille PAN-OS dans GlobalProtect

Palo Alto Networks a confirmé l’exploitation active d’une vulnérabilité critique affectant les passerelles et portails VPN GlobalProtect. Bien que les attaques observées depuis le 17 mai 2026 soient limitées et sans mouvement latéral détecté pour le moment, la menace est jugée sérieuse.

Vulnérabilité

• CVE-2026-0257 : Faille de contournement d’authentification (score CVSS 7.8) permettant à un attaquant d’établir des connexions VPN illégitimes.

Points clés

• L’exploitation permet de contourner les contrôles de sécurité.
• L’agence américaine CISA a intégré cette vulnérabilité à son catalogue KEV, exigeant une atténuation rapide des systèmes exposés.
• Des indicateurs de compromission (IoC), incluant des adresses IP suspectes et des noms d’hôtes fictifs, ont été identifiés.

Recommandations

• Audit des logs : Rechercher dans les journaux GlobalProtect toute connexion réussie utilisant les paramètres suspects suivants :
  • endpoint_os_version : Microsoft Windows 10 Pro 64-bit
  • source_user_info.domain : vide
• Mise à jour : Appliquer immédiatement les correctifs fournis par Palo Alto Networks.
• Surveillance : Surveiller les flux réseaux en bloquant les adresses IP identifiées comme malveillantes (ex: 23.128.228.6, 104.207.144.154, etc.).

Source