Vulnérabilité d’authentification Palo Alto PAN-OS : contournement actif exploité en 2026
Lysandre Beauchêne
Contourner l’authentification ? Pourquoi la faille PAN-OS de Palo Alto fait trembler les équipes IT
En 2026, une vulnérabilité d’authentification affectant les appliances Palo Alto Networks PAN-OS et le service Prisma Access a été largement exploitée par des acteurs malveillants. Selon le Cybersecurity and Infrastructure Security Agency (CISA), la faille CVE-2026-0257 a été intégrée au catalogue KEV le 29 mai 2026, signalant un risque de compromission réseau élevé. Dans la pratique, les attaquants ont pu créer des cookies d’authentification falsifiés et obtenir un accès VPN non autorisé, contournant ainsi les mécanismes de connexion traditionnels. Cet article décortique le mécanisme technique, les campagnes observées, et les mesures de mitigation à appliquer immédiatement.
Comprendre le mécanisme d’exploitation de la vulnérabilité PAN-OS
Le rôle du composant « authentication override »
Le module authentication override de PAN-OS génère des cookies de session pour les utilisateurs déjà authentifiés, afin d’éviter la saisie répétée de leurs credentials. Cette fonctionnalité, pourtant pratique, repose sur un certificat partagé avec le service HTTPS du portail. Le code du binaire /usr/local/bin/gpsvc déchiffre les cookies sans valider la signature du certificat, ouvrant la porte à la forge de cookies valides par n’importe quel acteur disposant du certificat public.
Comment l’attaquant crée le cookie falsifié
- Extraction du certificat public du service HTTPS exposé.
- Reconstruction de la clé de déchiffrement grâce à l’absence de contrôle d’intégrité.
- Fabrication d’un cookie contenant un identifiant d’utilisateur administrateur local.
- Injection du cookie dans une requête VPN GlobalProtect, ce qui conduit le pare-feu à accorder la connexion.
« Le processus de décodage sans vérification de signature constitue le point d’entrée privilégié pour l’exploitation », explique un analyste senior de la communauté de recherche.
Impact sur la surface d’attaque
- Accès complet aux réseaux internes via le tunnel VPN GlobalProtect.
- Élévation de privilèges : le cookie peut être généré pour n’importe quel compte local, y compris les administrateurs.
- Contournement des politiques MFA : la couche d’authentification multi-facteurs devient inefficace tant que le cookie est accepté.
Selon le rapport annuel de l’ANSSI (2025), 12 % des organisations françaises ont détecté au moins une tentative d’exploitation de ce type au cours du premier semestre 2026.
Analyse des campagnes d’exploitation observées
Première vague - Vultr (17 mai 2026)
Les chercheurs ont identifié des adresses IP 104.207.144.154 et des machines nommées GP-CLIENT utilisant un MAC spoofé aa:bb:cc:dd:ee:ff. Les requêtes visaient principalement des comptes administrateur locaux, mais la plupart des tentatives se sont soldées par un simple probe d’authentification.
Deuxième vague - Dromatics Systems (21 mai 2026)
Une seconde série d’attaques, provenant de l’IP 146.19.216.119/120/125, a utilisé la machine DESKTOP-GP01. Cette fois-ci, les attaquants ont établi des sessions VPN pleinement fonctionnelles, obtenant un accès direct aux réseaux internes des cibles.
« Le réemploi du même MAC spoofé sur les deux vagues suggère la présence d’un seul acteur », indique le rapport de threat-intel.
Indicateurs de compromission (IoC)
- IP 1 :
104.207.144.154 - IP 2 :
146.19.216.119,146.19.216.120,146.19.216.125 - MAC :
aa:bb:cc:dd:ee:ff - Nom d’hôte :
GP-CLIENT(Linux),DESKTOP-GP01(Windows)
Ces IoC doivent être intégrés dans les solutions SIEM et les flux de détection afin d’identifier rapidement les activités suspectes.
Mitigation : correctifs et bonnes pratiques de durcissement – Guide complet pour choisir vos EPI
Versions corrigées (tableau comparatif)
| Produit | Versions affectées | Versions corrigées (ou supérieures) |
|---|---|---|
| PAN-OS | 10.2.0 - 10.2.18-h6 | 10.2.10-h36, 10.2.18-h6+ |
| PAN-OS | 11.1.0 - 11.1.15 | 11.1.15, 11.1.16+ |
| PAN-OS | 11.2.0 - 11.2.12 | 11.2.12, 11.2.13+ |
| PAN-OS | 12.1.0 - 12.1.7 | 12.1.4-h6, 12.1.7, 12.1.8+ |
| Prisma Access | 10.2.0 - 10.2.9-h36 | 10.2.10-h36 ou ultérieur |
| Prisma Access | 11.2.0 - 11.2.6-h13 | 11.2.7-h13 ou ultérieur |
Étapes de correction immédiate
- Appliquer les correctifs : mettre à jour toutes les instances PAN-OS et Prisma Access vers les versions listées ci-dessus.
- Désactiver la fonctionnalité d’authentification override si elle n’est pas indispensable aux opérations quotidiennes.
- Générer un certificat dédié uniquement pour le chiffrement des cookies, en veillant à ne jamais le partager avec le service HTTPS du portail.
- Déployer des règles de détection dans le SOC pour monitorer les requêtes de cookies GlobalProtect inhabituelles.
- Effectuer une chasse aux IoC dans les journaux VPN et authentification afin d’identifier toute activité antérieure.
Durcissement supplémentaire
- Activer la validation de signature sur le binaire
gpsvcvia un patch de sécurité ou une configuration de renforcement du système d’exploitation. - Restreindre les certificats aux usages spécifiques (PKI → Only-Encrypt) afin d’empêcher la réutilisation dans d’autres services.
- Mettre en œuvre le MFA sur les comptes locaux, même lorsqu’un cookie d’authentification est utilisé, afin de créer une seconde barrière – Refonte de Microsoft 365 Copilot
# Exemple de commande de validation du certificat utilisé pour les cookies
openssl x509 -in /etc/paloalto/gpsvc_cert.pem -noout -text | grep "X509v3 Key Usage"
Mise en œuvre - étapes actionnables pour votre organisation
- Étape 1 : Vérifier la version actuelle de PAN-OS/Prisma Access via l’interface d’administration.
- Étape 2 : Planifier la mise à jour vers la version corrigée la plus proche de votre environnement de production.
- Étape 3 : Désactiver le paramètre
auth-overridedans la configuration (set deviceconfig setting authentication-override disable). - Étape 4 : Générer un certificat dédié :
openssl req -new -x509 -days 365 -keyout gpsvc_key.pem -out gpsvc_cert.pem. - Étape 5 : Importer le certificat dans le module GlobalProtect et appliquer les politiques de rotation.
- Étape 6 : Ajouter les IoC aux listes de blocage de votre firewall et aux alertes de votre SIEM.
- Étape 7 : Former les équipes d’exploitation sur la reconnaissance des tentatives de cookie falsifié.
Conclusion - Protéger vos tunnels VPN dès aujourd’hui – École cybersécurité Lille – classement 2025
La vulnérabilité d’authentification Palo Alto PAN-OS démontre combien une petite omission de vérification cryptographique peut conduire à un contournement complet du contrôle d’accès. En appliquant les correctifs cités, en désactivant ou en durcissant la fonctionnalité d’authentication override, et en intégrant les indicateurs de compromission dans vos processus de détection, vous réduirez considérablement le risque d’infiltration via le tunnel VPN GlobalProtect. Agissez dès maintenant : mettez à jour vos appliances, sécurisez vos certificats, et surveillez votre trafic VPN pour garantir la résilience de votre infrastructure face à cette menace active en 2026.