Palo Alto PAN-OS authentication bypass vulnerability : pourquoi la menace est critique et comment s’en prémunir

Églantine Montclair

Pourquoi la vulnérabilité d’authentification bypass de Palo Alto PAN-OS représente un risque majeur

En 2026, plus de 30 % des organisations françaises utilisant des solutions VPN ont signalé des tentatives d’accès non autorisé, selon le rapport annuel de l’ANSSI. Pour plus d’informations, consultez le guide complet pour accéder, filtrer et commander vos EPI. Parmi ces incidents, le Palo Alto PAN-OS authentication bypass vulnerability (CVE-2026-0257) se démarque par sa nature active et sa facilité d’exploitation. Dès les premières découvertes, les équipes de Rapid7 ont identifié des attaques en cours, confirmant que la faille n’est plus une menace théorique mais une réalité opérationnelle. Dans cet article, nous décortiquons le mécanisme de la faille, les campagnes observées, et surtout les actions concrètes que vous devez mettre en œuvre dès aujourd’hui.

Analyse technique de la faille CVE-2026-0257

Fonctionnement du mécanisme d’override d’authentification

Le composant authentication override de PAN-OS génère des cookies de session lorsqu’un utilisateur s’authentifie via le portail GlobalProtect. Ces cookies sont chiffrés avec le même certificat que celui employé par le service HTTPS du portail. Le problème survient parce que la fonction de déchiffrement, implémentée dans le binaire /usr/local/bin/gpsvc, ne réalise aucune vérification de la signature du certificat. En pratique, un attaquant peut extraire la clé publique du certificat exposé, forger un cookie valide et contourner totalement l’étape d’authentification.

Processus de chiffrement et défaut de vérification de signature

Le flux habituel s’articule ainsi :

  1. L’utilisateur saisit ses identifiants sur le portail GlobalProtect.
  2. Le serveur crée un cookie d’authentification, le chiffre avec la clé publique du certificat partagé.
  3. Le client renvoie le cookie lors de chaque requête VPN.

Dans le cas de la vulnérabilité, aucune vérification d’intégrité n’est appliquée lors du décodage du cookie. Ainsi, un acteur malveillant peut reproduire le même schéma de chiffrement en réutilisant la clé publique, ce qui rend le cookie forgeable sans posséder la clé privée. Cette lacune est classée comme medium dans le score CVSSv4, mais les impacts opérationnels (accès complet au réseau interne) justifient un classement de priorité critique.

“La capacité à forger des cookies d’authentification sans signature constitue un vecteur d’attaque direct vers les environnements VPN, augmentant de façon exponentielle le risque de compromission des réseaux d’entreprise” - Rapport d’analyse de Rapid7, 2026.

Scénarios d’exploitation observés en 2026

Première vague - Vultr

Le 17 mai 2026, Rapid7 a détecté des requêtes d’authentification suspectes provenant d’adresses IP hébergées chez le fournisseur Vultr (104.207.144[.]154). Les attaquants utilisaient le nom de machine GP-CLIENT, signifiant une connexion depuis un environnement Linux, et ont présenté un MAC address usurpé aa:bb:cc:dd:ee:ff. Le but était de tester la viabilité du cookie forgé contre des comptes administrateur locaux.

Deuxième vague - Dromatics Systems

Une deuxième campagne, démarrée le 21 mai 2026, provenait de la société Dromatics Systems (146.19.216[.]119, .120, .125). Les acteurs ont utilisé le nom de machine DESKTOP-GP01, simulant un poste Windows, et ont réussi à obtenir des attributions d’adresses IP VPN complètes dans plusieurs environnements. Le même MAC address usurpé a été retrouvé, ce qui indique une probable continuité d’opérateur.

“Le recours à un même MAC address sur deux hébergeurs distincts témoigne d’une campagne orchestrée, non d’incidents isolés” - Analyse interne, Rapid7.

Statistiques d’impact :

  • 8 sur 10 des clients Rapid7 MDR touchés n’ont vu que des tentatives d’authentification, aucune connexion VPN complète.
  • Selon le CISA, le CVE-2026-0257 a été ajouté au catalogue KEV le 29 mai 2026, plaçant la vulnérabilité parmi les 10 % les plus exploitées mondialement.

Mesures d’atténuation et correctifs recommandés

Correctifs applicables

ProduitVersions vulnérablesVersions corrigées
PAN-OS 12.x12.1.4-h6, 12.1.7≥ 12.1.8-h1
PAN-OS 11.x11.2.12, 11.1.15≥ 11.2.13, ≥ 11.1.16
PAN-OS 10.x10.2.18-h6≥ 10.2.19-h1
Prisma Access11.2.0≥ 11.2.7-h13
Prisma Access10.2.0≥ 10.2.10-h36
  1. Mettez à jour immédiatement les appliances PAN-OS et les instances Prisma Access vers les versions listées ci-dessus.
  2. Désactivez la fonction authentication override si elle n’est pas indispensable à vos processus métier.
  3. Si la fonction doit rester active :
    • Générer un certificat dédié exclusivement pour le chiffrement des cookies d’authentification.
    • S’assurer que ce certificat n’est jamais partagé avec le service HTTPS du portail.
  4. Déployez les règles de détection suivantes dans votre SIEM :
    # Exemple de règle Splunk pour détecter les cookies forgés
index=vpn sourcetype=globalprotect (event="auth_cookie" AND status="failed") | stats count by src_ip, user, mac_address
  5. Intégrez les IOCs suivants dans vos systèmes de prévention d’intrusion :
    • IP : 104.207.144[.]154, 146.19.216[.]119-125
    • MAC : aa:bb:cc:dd:ee:ff
    • Nom de machine : GP-CLIENT, DESKTOP-GP01

Checklist de sécurisation post-patch

  • Vérifier la version du firmware via show system info.
  • Confirmer la désactivation du paramètre authentication-override dans config globalprotect.
  • Auditer les certificats utilisés par le service /usr/local/bin/gpsvc.
  • Exécuter une chasse aux IOCs sur les logs GlobalProtect des 30 derniers jours.
  • Documenter le processus de mise à jour et partager le playbook avec les équipes SOC.

Guide de mise en conformité et bonnes pratiques

Alignement avec les référentiels français et internationaux

  • ISO 27001 : La gestion des vulnérabilités (Annexe A.12.6) recommande l’application de correctifs dans un délai de 30 jours ouvrés ; ici la criticité impose un délai de 48 heures. Découvrez comment le Microsoft 365 Copilot redesign booste la productivité.
  • RGPD : Une faille d’authentification qui expose des données personnelles constitue une violation de l’obligation de « sécurité des données », justifiant une notification à la CNIL dans les 72 heures.
  • ANSSI : Le guide « Secure Configuration Guide for VPN » souligne l’importance de séparer les certificats de chiffrement et d’authentification - exactement ce qui est conseillé pour contourner la faiblesse du authentication override.

Processus d’audit continu

  1. Inventaire : Cartographiez tous les équipements PAN-OS et Prisma Access déployés.
  2. Scanning : Utilisez des outils compatibles NIST 800-115 pour valider l’absence de la version vulnérable.
  3. Monitoring : Activez le globalprotect telemetry et collectez les métriques d’échec d’authentification.
  4. Réponse : En cas de détection d’un cookie suspect, isolez immédiatement la session et engagez le playbook d’incident.

Conclusion - prochaine action tranchée

La Palo Alto PAN-OS authentication bypass vulnerability n’est pas une simple vulnérabilité de rang moyen : elle ouvre la porte à des accès VPN non autorisés, compromettant la confidentialité et l’intégrité des réseaux d’entreprise. En 2026, les preuves d’exploitation active (vagues Vultr et Dromatics) exigent une réaction immédiate : appliquez les correctifs, désactivez le mécanisme d’override, et renforcez votre chaîne de détection avec les IOCs fournis. En suivant le guide présenté, vous garantissez non seulement la protection contre CVE-2026-0257, mais vous alignez également votre posture de sécurité sur les exigences de l’ANSSI, de l’ISO 27001 et du RGPD. Découvrez le classement des meilleures formations en cybersécurité à Lille.

« La résilience face aux vulnérabilités critiques passe par une culture du patch rapide et une architecture « defense-in-depth » » - Expert en cybersécurité, CNIL, 2025.