Palo Alto Networks indique qu'une faille PAN-OS GlobalProtect est activement exploitée
Attaques actives ciblant les VPN d'entreprise
Palo Alto Networks met en garde contre des attaquants qui exploitent activement une vulnérabilité de contournement d'authentification dans PAN-OS GlobalProtect, qui peut leur permettre d'établir des connexions VPN non autorisées sur des appareils d'entreprise.
La faille, répertoriée sous CVE-2026-0257, a été corrigée plus tôt ce mois-ci. Palo Alto l'avait initialement évaluée comme ayant une gravité moyenne, indiquant que l'exploitation nécessitait que les appareils soient configurés avec les cookies d'override d'authentification activés et une configuration de certificat spécifique. Vendredi, la société a révisé son avis, indiquant qu'elle avait pris connaissance de tentatives d'exploitation limitées contre des appareils PAN-OS non corrigés sans atténuations et a porté la gravité au niveau Élevé.
« Le portail et la passerelle GlobalProtect du logiciel PAN-OS de Palo Alto Networks permettent à un attaquant de contourner les restrictions de sécurité et d'établir une connexion VPN non autorisée », a déclaré la société dans son avis.
La mise à jour fait suite à un avertissement séparé de Rapid7, qui a indiqué avoir observé des exploitations réussies chez de nombreux clients à partir du 17 mai. Rapid7 a précisé ne pas avoir vu de preuves de mouvements latéraux réussis depuis les appareils affectés, mais a noté que la vulnérabilité avait été ajoutée au catalogue CISA Known Exploited Vulnerabilities le 29 mai 2026.
Selon Rapid7, les attaques utilisaient des cookies d'override d'authentification falsifiés pour s'authentifier auprès des passerelles GlobalProtect et ciblaient le compte administrateur local. La société a déclaré avoir observé la première exploitation le 18 mai depuis une infrastructure hébergée par Vultr, suivie d'une seconde vague le 21 mai provenant de Dromatics Systems.
Dans certains cas, les attaquants ont pu se connecter aux appareils via VPN en utilisant des cookies falsifiés et accéder aux réseaux internes. Dans d'autres incidents, l'appliance acceptait le cookie falsifié mais une session VPN complète ne pouvait pas être établie.
Rapid7 a expliqué que les appareils affectés avaient les cookies d'override d'authentification GlobalProtect activés et étaient configurés d'une manière qui permettait aux attaquants de forger des cookies valides. Le problème provient du processus de validation de PAN-OS : l'appareil VPN décrypte le cookie avec une clé privée configurée et fait confiance au contenu décrypté sans effectuer de vérification de signature. Si le même certificat est utilisé à la fois pour les services HTTPS et pour les cookies d'override d'authentification, un attaquant peut obtenir la clé publique via la session HTTPS et l'utiliser pour créer un cookie que l'appareil accepte comme légitime.
Sources :
Doppler VPN : 6 emplacements de serveurs, VLESS protocol, aucun suivi. Commencez gratuitement.