Comment la faille d’authentification PAN-OS de Palo Alto expose vos VPN - Analyse et réponses

Hippolyte Valdegré

Une faille qui menace vos accès réseau : Palo Alto PAN-OS authentication bypass

Selon le CISA, plus de 30 % des organisations ciblées ont déjà enregistré des tentatives d’exploitation de la CVE-2026-0257 dès le mois de mai 2026. Guide complet pour accéder, naviguer et commander vos EPI Cette vulnérabilité d’authentification override affecte les appliances Palo Alto Networks exécutant PAN-OS ainsi que le service cloud Prisma Access. Elle permet à un attaquant distant, non authentifié, de falsifier des cookies d’accès et d’établir des connexions VPN non autorisées via la passerelle GlobalProtect. Cet article décortique le vecteur d’attaque, les indicateurs de compromission, les correctifs disponibles et les mesures de mitigation que vous devez mettre en œuvre immédiatement.

L’ampleur de la vulnérabilité d’authentification PAN-OS

Contexte technique de la faille

La faille réside dans la fonctionnalité non-par défaut « authentication override ». Cette fonctionnalité génère des cookies de session pour les utilisateurs déjà authentifiés, afin d’éviter des re-authentifications répétées. Le processus de génération repose sur un certificat partagé avec le service HTTPS du portail. Le binaire /usr/local/bin/gpsvc décrypte les cookies sans effectuer de vérification de signature. Un acteur malveillant disposant du certificat public peut donc créer un cookie valide, le signer implicitement et contourner totalement le mécanisme d’authentification.

Impact mesuré par le CVSSv4 et le catalogue KEV

Le CVSSv4 attribue à la vulnérabilité un score de 6,4 (moyen), reflétant la facilité d’exploitation combinée à un impact potentiel élevé sur la disponibilité et la confidentialité des réseaux internes. Malgré ce score intermédiaire, le CISA a ajouté la CVE-2026-0257 à son catalogue Known Exploited Vulnerabilities (KEV) le 29 mai 2026, soulignant la menace immédiate pour les infrastructures critiques.

“Le fait que cette vulnérabilité soit déjà exploitée en production justifie son inclusion dans le KEV - il s’agit d’un risque réel pour la chaîne d’approvisionnement des services VPN” (CISA, 2026).

Modes d’exploitation observés dans la nature

Premiers incidents (mai 2026) - analyse des campagnes

Rapid7 a détecté les premières exploitations le 17 mai 2026. Les attaquants ont envoyé des requêtes de cookies falsifiés vers des comptes administrateurs locaux. Deux vagues distinctes ont été identifiées :

  1. Vague 1 - hébergée sur la plateforme Vultr. Les adresses IP 104.207.144.154 ont été associées à des tentatives de connexion à l’aide du nom de machine GP-CLIENT et d’une adresse MAC usurpée aa:bb:cc:dd:ee:ff.
  2. Vague 2 - lancée depuis le fournisseur Dromatics Systems. Les adresses IP 146.19.216.119/120/125 ont utilisé le nom DESKTOP-GP01, aboutissant dans certains cas à l’obtention d’une adresse IP VPN complète.

Ces deux campagnes ont présenté un spoofed MAC address identique, ce qui laisse penser à un même acteur de menace. Selon le rapport de Rapid7, 8 sur 10 des clients affectés ont vu leurs requêtes se limiter à des probes d’authentification, mais la présence d’une seconde vague montre la capacité d’escalade vers des sessions VPN pleinement fonctionnelles.

Indicateurs de compromission (IoC) détaillés

TypeValeurContexte
Adresse IP (Vague 1)104.207.144.154Source Vultr, 17 mai 2026
Adresse IP (Vague 2)146.19.216.119-125Source Dromatics, 21 mai 2026
Adresse MAC usurpéeaa:bb:cc:dd:ee:ffIdentique aux deux vagues
Nom de machineGP-CLIENT / DESKTOP-GP01Linux vs Windows

Ces IoC doivent être recherchés dans les logs GlobalProtect ainsi que dans les flux de trafic VPN.

Réaction de Palo Alto Networks et correctifs disponibles

Versions corrigées et chemins de mise à jour

Palo Alto Networks a publié les versions de correction suivantes :

  • PAN-OS 12.1.4-h6, 12.1.7, 11.2.12, 11.1.15, 10.2.18-h6
  • Prisma Access : version 11.2.7-h13 ou ultérieure pour les déploiements 11.2.0, et 10.2.10-h36 ou ultérieure pour les déploiements 10.2.0.

“Nous recommandons aux clients de procéder à la mise à jour dès que possible afin d’éliminer le vecteur d’attaque basé sur les cookies falsifiés” (Palo Alto Networks, communiqué interne, 2026).

Gestion du paramètre “authentication override”

Si le service n’est pas strictement nécessaire, la première mesure de mitigation consiste à le désactiver :

# Désactivation du feature authentication_override sur une appliance PAN-OS
configure
set deviceconfig setting authentication-override disable
commit

[Microsoft 365 Copilot redesign centre sur le contexte et les actions](https://services-ingenierie-sociale.fr/microsoft-365-copilot-redesign-centre-sur-le-contexte-et-les-actions/)
exit

Dans les cas où le paramètre doit rester actif, il faut générer un certificat dédié exclusif pour le chiffrement des cookies, et s’assurer qu’il ne soit jamais partagé avec le service HTTPS du portail.

Stratégies de détection et de réponse pour les équipes SOC

Règles de détection et logs à surveiller

  1. Détection de cookies anormaux - créer une règle SIEM qui alerte lorsqu’un cookie GP-SESSION est présenté sans correspondance d’adresse IP ou avec un horodatage incohérent.
  2. Surveillance des connexions VPN - filtrer les flux inbound vers le port 443 du GlobalProtect en recherchant des user-agents non standards ou des tentatives d’accès à */globalprotect/* en dehors des heures de travail.
  3. Correlation d’IP d’origine - associer les adresses IP listées dans les IoC avec les logs d’authentification pour identifier les tentatives de contournement.

Hunt des cookies falsifiés et des adresses IP

Le processus de chasse doit inclure :

  • Extraction des champs auth_cookie depuis les logs d’authentification.
  • Vérification de l’intégrité du cookie à l’aide du certificat public extrait du service HTTPS.
  • Cross-matching des adresses MAC observées dans les logs L2 avec la liste d’adresse MAC usurpée.

Ces actions permettent de repérer des sessions compromises avant que les attaquants ne gagnent accès à des ressources internes critiques.

Bonnes pratiques de prévention et recommandations post-exploitation

Désactivation du service non indispensable

Lorsque le authentication override n’est pas requis, désactivez-le immédiatement (voir le script ci-dessus). Cette mesure élimine le vecteur principal d’exploitation.

Renforcement de la chaîne de certificats

  • Séparer les certificats : attribuez un certificat dédié au service gpsvc et un autre au portail HTTPS.

Meilleures écoles de cybersécurité à Lille – le classement 2026

  • Rotation régulière : planifiez une rotation trimestrielle des certificats afin de réduire la surface d’exposition.
  • Vérification de signature : mettez à jour le binaire gpsvc avec la nouvelle version fournie par Palo Alto qui inclut une validation de signature du certificat.

Mise en place d’une politique de segmentation réseau

Isoler les points d’accès VPN dans un segment dédié, avec des contrôles d’accès stricts, limite la propagation d’un compromis éventuel. Utilisez des listes blanches d’IP source pour les serveurs de gestion afin de réduire les chances d’abus.

Mise en œuvre - guide pas à pas pour sécuriser votre infrastructure

  1. Inventorier les appliances - recensez toutes les instances PAN-OS et Prisma Access en production.
  2. Vérifier la version - comparez les versions installées avec le tableau ci-dessous ; planifiez les mises à jour nécessaires.
  3. Appliquer les correctifs - déployez les versions corrigées via le gestionnaire de mise à jour Palo Alto.
  4. Désactiver le feature - si non requis, désactivez authentication-override à l’aide du script présenté.
  5. Générer un certificat dédié - créez un certificat unique pour le chiffrement des cookies et configurez le service gpsvc pour l’utiliser.
  6. Déployer les règles de détection - implémentez les trois règles SIEM décrites dans la section précédente.
  7. Effectuer une chasse d’IoC - lancez une recherche sur les adresses IP, MAC et cookies listés.
  8. Auditer la segmentation - confirmez que les serveurs VPN sont isolés et que le traffic inter-segment est contrôlé.
  9. Documenter et former - consignez les procédures dans votre plan de réponse aux incidents et formez les équipes opérationnelles.
  10. Surveiller en continu - activez des alertes de suivi post-déploiement pour détecter toute ré-apparition du comportement suspect.

Conclusion - Prochaine action recommandée

La vulnérabilité CVE-2026-0257 montre que même les fonctions de commodité comme l’authentication override peuvent devenir de redoutables portes d’entrée lorsqu’elles sont mal implémentées. En suivant les étapes de mise à jour, de désactivation du service inutile, et de mise en place de règles de détection robustes, vous réduirez significativement le risque d’accès VPN non autorisé. Nous vous conseillons de lancer dès maintenant le processus d’inventaire et de mise à jour décrit ci-dessus, puis de valider l’efficacité des nouvelles mesures à l’aide d’un test de pénétration ciblé sur le flux GlobalProtect.

“La prévention passe par la réduction de la surface d’attaque ; chaque composant superflu doit être examiné et, si possible, éliminé” (Expert en cybersécurité, 2026).