Palo Alto Networks a mis en garde contre une vulnérabilité de gravité critique sur le portail d'authentification Utilisateur-ID (connu sous le nom de portail Captive) de PAN-OS qui est déjà exploité dans des attaques ciblées. Identifiée comme CVE-2026-0300, est un dépassement de tampon qui permet à un attaquant non authentifié d'exécuter un code arbitraire avec des privilèges root sur les périphériques PA-Series et VM-Series exposés à Internet par des paquets spécialement manipulés.
La possibilité d'exécuter le code comme racine dans un pare-feu implique un risque extrême : un attaquant peut désactiver les contrôles, créer de la persistance, intercepter ou manipuler le trafic, et utiliser l'équipement engagé comme trampoline pour se déplacer latéralement dans le réseau. Par conséquent, Palo Alto a décrit l'échec avec la plus grande sévérité et a indiqué qu'il existe déjà des preuves d'exploitation limitée contre les portails d'authentification accessibles à partir de directions peu fiables ou sur Internet public.
Si votre organisation utilise PAN-OS, vérifiez immédiatement si le portail d'authentification est activé et exposé. Palo Alto propose une page avec des détails techniques et des recommandations initiales dans votre avis officiel: https: / / security.paloaltonetworks.com / CVE-2026-0300. Il convient également de vérifier la configuration spécifique du portail captif dans la documentation technique du produit afin d'identifier et d'atténuer rapidement l'exposition: https: / / docs.paloaltonetworks.com /... / confire-captive-portal.
Un contexte inquiétant: Les services de suivi Internet détectent des milliers de pare-feu PAN-OS accessibles au public. Par exemple, Shadowserver signale plus de 5 800 pare-feu de série VM exposés en ligne, principalement concentrés en Asie et en Amérique du Nord; cela signifie que la surface d'attaque potentielle est grande et que de nombreuses organisations pourraient être en danger jusqu'à ce qu'un patch ou une atténuation finale soit appliqué. Voir le suivi public ici: https: / / tableau de bord.Shadowserver.org /....
Jusqu'à Palo Alto publie un patch, la mesure la plus urgente et la plus pratique est de réduire l'exposition: restreint l'accès au portail d'authentification Utilisateur-ID aux zones de réseau de confiance et, si elle ne peut garantir une telle restriction, désactiver le portail temporairement. Cette recommandation est conforme aux pratiques de sécurité dans la gestion du périmètre : ne jamais laisser des services sensibles accessibles à partir de réseaux peu fiables sans contrôles supplémentaires.
En plus de désactiver ou de bloquer l'accès, mettre en place des contrôles compensatoires : appliquer des règles de contrôle d'accès sur les bords du réseau et les fournisseurs de transit pour bloquer l'accès à l'interface à partir d'adresses publiques, exiger l'utilisation de VPN ou de tunnels de gestion pour l'administration à distance, et veiller à ce que la gestion des pare-feu ne soit pas directement exposée à Internet. Privilégier les alertes de log d'événements et d'intégrité de l'appareil pour les comportements anormaux (réouvertures imprévues, modifications de configuration non autorisées, connexions IP suspectes).
Si vous soupçonnez un engagement, procédez avec un plan d'intervention : isolez l'équipement affecté du réseau, collectez des appareils médico-légaux (log du système, configuration, capture du trafic), ne faites pas confiance à l'image de l'appareil jusqu'à ce qu'une reconstruction propre d'une image connue et signez les justificatifs administratifs après la récupération. Envisager l'assistance d'une équipe médico-légale externe et signaler l'incident aux parties concernées conformément aux exigences réglementaires et aux contrats.
Cette vulnérabilité est dans une tendance : au cours des derniers mois, plusieurs défaillances PAN-OS ont été exploitées de par leur nature, ce qui montre que les dispositifs de sécurité avec interfaces exposées sont des cibles prioritaires pour les attaquants cherchant un contrôle permanent. Depuis Palo Alto est un fournisseur d'une grande partie de l'infrastructure mondiale critique et d'entreprise, les impacts potentiels vont des interruptions ponctuelles aux lacunes qui compromettent l'information sensible des clients et des employés.
Enfin, documentez et automatisez la détection et l'atténuation : inventez tous les pare-feu et portails d'authentification, priorisez ceux qui sont exposés publiquement, appliquez les nouvelles règles d'accès et planifiez l'application du patch officiel dès qu'il est disponible. Tenez-vous au courant de l'avis du fabricant et des renseignements de bonne réputation; la fenêtre entre la divulgation et l'exploitation de masse peut être courte, de sorte que la rapidité et la discipline opérationnelle sont essentielles pour minimiser l'impact.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
RAMPART et Clarity redéfinissent la sécurité des agents IA avec des tests reproductibles et la gouvernance dès le départ
Microsoft a présenté deux outils open source, RAMPART et Clarity, visant à modifier la façon dont la sécurité des agents d'IA est testée : l'un qui automatise et standardise les...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...