Un mois d'avance pour les attaquants. C'est le délai dont ont bénéficié les opérateurs qui exploitent silencieusement les firewalls Palo Alto Networks depuis le 9 avril 2026, obtenant un accès root via le Captive Portal de PAN-OS, déployant EarthWorm et ReverseSocks5 pour pivoter dans les réseaux internes, puis effaçant méthodiquement les journaux derrière eux.
La faille, identifiée sous la référence CVE-2026-0300 et notée 9,3 sur l'échelle CVSS, a conduit la CISA et le CERT-FR à alerter sur l'urgence d'appliquer les correctifs. Sur le plan technique, elle réside dans le portail d'authentification User-ID de PAN-OS, et plus précisément dans le composant Captive Portal. Il s'agit d'un débordement de tampon classique: un attaquant non authentifié peut envoyer des paquets réseau spécialement forgés vers ce service, ce qui déclenche une écriture hors limites (out-of-bounds write) en mémoire. Le résultat est sans appel: exécution de code arbitraire avec les privilèges root sur l'équipement ciblé.
Une faille critique dans le Captive Portal de PAN-OS
Autrement dit, un acteur malveillant peut prendre le contrôle total d'un firewall depuis Internet, sans aucune information d'identification. Pour un équipement censé constituer la première ligne de défense d'un système d'information, l'impact est maximal.
Les produits concernés couvrent un large périmètre. Les branches PAN-OS 10.2, 11.1, 11.2 et 12.1 sont toutes affectées, aussi bien sur les firewalls PA-Series (matériels physiques) que sur les VM-Series (instances virtualisées et cloud). Palo Alto Networks a publié les correctifs à compter du 13 mai 2026 via son avis officiel de Palo Alto.
Une chronologie d'exploitation révélatrice
L'analyse Wiz, complétée par les observations de Kodem et SOCRadar, permet de reconstituer un calendrier précis. Les premières tentatives d'exploitation, encore infructueuses, ont été détectées dès le 9 avril 2026. Une semaine plus tard, les attaquants obtenaient leur première exécution de code à distance réussie. La fenêtre entre la découverte par les acteurs malveillants et la publication officielle du correctif a donc dépassé un mois.
Le mode opératoire initial s'apparente à du scanning opportuniste automatisé. Les opérateurs ciblaient sans distinction les instances de Captive Portal exposées sur Internet, en quête d'équipements vulnérables. Les charges utiles déposées lors de cette première vague étaient sommaires: un simple reverse shell, sans framework de post-exploitation élaboré.
Cette simplicité technique est instructive. Elle suggère deux profils d'attaquants possibles. Soit des acteurs de sophistication limitée qui ont compris comment déclencher la faille sans pour autant maîtriser une chaîne d'attaque complète. Soit, hypothèse plus inquiétante, des courtiers en accès initial (Initial Access Brokers, des acteurs spécialisés dans la revente d'accès à des systèmes compromis à d'autres groupes criminels) opérant à grande échelle, qui revendront ensuite les accès obtenus à des groupes ransomware ou à des opérateurs étatiques. Dans un contexte où les vulnérabilités s'accumulent, savoir prioriser les CVE réellement exploitées conditionne directement la capacité d'une organisation à réduire son risque.
Post-exploitation: effacement des traces et pivotement
Une fois l'accès root obtenu, les attaquants observés ont systématiquement procédé à un nettoyage des traces. Les messages de crash kernel ont été effacés, tout comme les entrées de crash nginx et les journaux nginx du service vulnérable. Cette discipline opérationnelle contraste avec la simplicité des charges utiles initiales et complique considérablement le travail des équipes de réponse à incident.
La recherche d'indices de compromission doit donc se concentrer non seulement sur la présence d'artefacts, mais aussi sur leur absence anormale. Un firewall PAN-OS qui n'enregistre aucun crash sur une période où d'autres équipements similaires en signalent constitue un signal faible à investiguer.
Les activités post-exploitation observées comprennent une énumération Active Directory depuis l'appliance compromise, ainsi que le dépôt de deux outils supplémentaires: EarthWorm et ReverseSocks5. Ces deux utilitaires sont des proxies réseau qui permettent de faire rebondir des connexions et de pivoter latéralement dans le réseau interne. Un firewall compromis devient ainsi un point d'appui idéal pour atteindre des actifs internes normalement protégés.
Réactions des autorités
La CISA a ajouté CVE-2026-0300 à son catalogue Known Exploited Vulnerabilities dès le 6 mai 2026, imposant de fait aux agences fédérales américaines un délai contraint pour appliquer le correctif. Cette inscription rapide témoigne du caractère avéré et confirmé de l'exploitation en environnement réel.
Côté français, le CERT-FR a inclus la vulnérabilité dans son bulletin d'actualité hebdomadaire CERTFR-2026-ACT-021, couvrant la semaine du 4 au 10 mai 2026, avec la mention explicite d'« exploitation active ». Les organisations françaises disposant d'équipements PAN-OS sont donc invitées à traiter cette faille en priorité. Pour anticiper ce type d'alertes plus tôt dans le cycle, les critères de threat intel deviennent un élément structurant du choix des outils de défense.
Mesures recommandées
La première action consiste à appliquer sans délai les correctifs publiés par Palo Alto Networks pour les branches concernées. Tant que le correctif n'est pas déployé, restreindre l'accès au Captive Portal est impératif. Ce service n'a pas vocation à être exposé sur Internet ouvert: il sert à authentifier des utilisateurs sur des segments réseau précis. Toute exposition publique relève d'une mauvaise configuration et élargit inutilement la surface d'attaque de l'organisation.
Une analyse rétrospective des journaux est également nécessaire. Compte tenu de l'écart d'au moins un mois entre les premières exploitations et la publication du correctif, certaines infrastructures peuvent déjà être compromises sans le savoir. Les équipes de sécurité doivent rechercher des indices spécifiques: absence anormale de journaux nginx, processus suspects de type proxy ou reverse shell, requêtes LDAP inhabituelles émises depuis l'appliance, et présence éventuelle des binaires EarthWorm ou ReverseSocks5.
Enfin, la rotation des credentials manipulés par les firewalls compromis ou suspects, et notamment les comptes de service Active Directory utilisés pour l'intégration User-ID, doit être envisagée systématiquement en cas de doute. Un attaquant ayant obtenu le root sur l'équipement a potentiellement eu accès à ces secrets.
Questions fréquentes
Faut-il exposer le Captive Portal PAN-OS sur Internet ?
Imaginez un Captive Portal PAN-OS directement joignable depuis n'importe quelle IP publique: c'est précisément cette configuration qui a permis aux opérateurs de CVE-2026-0300 de mener un scanning opportuniste à grande échelle dès le 9 avril 2026. Le Captive Portal est conçu pour authentifier des utilisateurs sur des segments réseau d'accès internes, pas pour être joignable depuis l'Internet ouvert. La première action concrète consiste à auditer les règles de pare-feu en amont et à restreindre l'accès au service aux seuls segments légitimes, en attendant l'application du correctif. Toute instance accessible publiquement doit être considérée comme une mauvaise configuration à corriger immédiatement.
Comment savoir si un équipement PAN-OS a été compromis via CVE-2026-0300 ?
L'investigation doit combiner recherche d'artefacts et détection d'absences anormales, puisque les attaquants nettoient systématiquement leurs traces après obtention du root. Concrètement, il faut chercher la disparition ou la modification suspecte des messages de crash kernel, des entrées de crash nginx et des journaux nginx du service Captive Portal. À cela s'ajoutent les signaux de post-exploitation observés: processus inconnus de type proxy ou reverse shell, requêtes d'énumération Active Directory émises depuis l'appliance, et présence des binaires EarthWorm ou ReverseSocks5 utilisés pour pivoter latéralement. Un firewall silencieux là où ses pairs remontent des crashs constitue à lui seul un signal faible justifiant une investigation approfondie. En cas de doute confirmé, la rotation des comptes de service User-ID intégrés à l'Active Directory devient indispensable.
Les VM-Series (instances cloud) sont-elles aussi concernées ?
Si vous opérez une VM-Series PAN-OS en 10.2, 11.1, 11.2 ou 12.1, vous êtes exposé au même titre qu'un PA-Series physique. La nature même de la vulnérabilité, un débordement de tampon dans le composant Captive Portal, est indépendante du support d'exécution. La distinction décisive porte en réalité sur la responsabilité d'application du correctif. Pour les instances VM-Series gérées par Palo Alto Networks dans le cadre d'offres managées (Panorama Managed, MSSP managed), c'est l'éditeur qui pousse les correctifs sur le périmètre concerné. En revanche, pour les instances VM-Series déployées et opérées par le client lui-même (AWS, Azure, GCP ou environnements virtualisés on-premise), la responsabilité du déploiement du correctif revient intégralement aux équipes internes, qui doivent traiter ces firewalls avec la même priorité que les appliances physiques, en accordant une attention particulière aux instances dont le Captive Portal est exposé via un load balancer public.
