Nouvelle alerte du côté de chez Palo Alto Networks : une faille de sécurité découverte dans GlobalProtect, son service VPN utilisé par les entreprises, est actuellement exploitée par les cybercriminels. Voici ce que l’on sait sur cette menace.

La faille de sécurité CVE-2026-0257

Le 13 mai 2026, Palo Alto Networks a publié un bulletin de sécurité pour évoquer la vulnérabilité CVE-2026-0257 patchée dans PAN-OS, le système utilisé par ses firewalls. Cette vulnérabilité se situe au niveau de la fonctionnalité GlobalProtect de PAN-OS.

“Des failles permettant de contourner l’authentification dans le portail GlobalProtect et la passerelle du logiciel PAN-OS® de Palo Alto Networks permettent à un attaquant de contourner les restrictions de sécurité et d’établir une connexion VPN non autorisée.”, précise le bulletin de sécurité. Initialement, cette faille de sécurité s’était vue attribuer un niveau de sévérité “Moyen”, notamment car il faut une configuration bien spécifique pour l’exploiter.

Néanmoins, la situation actuelle est plus inquiétante puisque cette faille de sécurité est exploitée par les pirates :

• La société Rapid7 affirme que cette vulnérabilité est exploitée depuis le 17 mai 2026,
• La CISA a ajouté cette vulnérabilité à son catalogue des failles connues et exploitées le 30 mai 2026,
• Palo Alto Networks a mis à jour son bulletin de sécurité pour indiquer qu’il était urgent de patcher.

“Le MDR de Rapid7 a identifié une exploitation réussie chez de nombreux clients, cependant nous n’avons observé aucune indication de mouvement latéral réussi à partir de ces appareils. La date la plus reculée observée pour cette exploitation était le 17 mai 2026.”, précise le rapport de Rapid7.

Les conditions d’exploitation

Pour s’authentifier auprès d’une passerelle GlobalProtect vulnérable, les pirates s’appuient sur des cookies forgés pour l’occasion. Ces cookies qu’ils construisent eux-mêmes ciblent en priorité le compte administrateur local de l’instance.

D’où vient précisément ce problème de sécurité ? Les chercheurs expliquent que la faille réside dans la manière dont PAN-OS valide certains cookies, ce qui permet dans certains cas de contourner l’authentification. Voici ce qu’il se passe :

• Un appareil VPN GlobalProtect déchiffre le cookie à l’aide d’une clé privée configurée.
• L’appareil fait ensuite confiance au contenu déchiffré, sans effectuer la moindre vérification de signature.
• Si le même certificat est réutilisé à la fois pour les services HTTPS et pour les cookies de contournement d’authentification, un attaquant peut obtenir la clé publique correspondante via la session HTTPS.
• À l’aide de cette clé publique, il devient possible de générer un faux cookie d’authentification pour n’importe quel utilisateur, et de s’authentifier sans connaître de véritables identifiants.

En pratique, le certificat peut être récupéré par l’attaquant depuis un portail public ou une passerelle GlobalProtect exposée. Toutefois, pour que l’attaque fonctionne, il y a une condition à respecter au sein même de la configuration de PAN-OS : la fonctionnalité authentication override doit être activée.

Comment protéger vos équipements Palo Alto Networks ?

Si vous utilisez la solution VPN GlobalProtect de Palo Alto Networks dans votre organisation, vous devez agir rapidement. Le mieux : installer les derniers correctifs de sécurité publiés par l’éditeur.

Si vous ne pouvez pas appliquer le correctif dans l’immédiat, deux mesures d’atténuation sont proposées :

• Désactivez la fonctionnalité authentication override.
• Utiliser un certificat distinct pour cette fonctionnalité, en veillant à ne pas le partager avec d’autres services HTTPS présents sur l’appareil. Ainsi, un attaquant ne pourrait pas tirer profit d’un certificat qu’il récupérerait sur un portail d’authentification.

Retrouvez tous les détails dans le bulletin de sécurité de Palo Alto Networks.