Aller au contenu
Kreomnis.Vigie
CVE-2026-0257Élevée7.8 KEV

PAN-OS GlobalProtect : le bypass d'auth qui ouvre le VPN interne

Publiée le 31/05/2026// Kreomnis
CVSS
7.8
EPSS - probabilité d'exploitation
-
Source : FIRST.org - modèle EPSS v3
Produits/versions affectés
  • PAN-OS - GlobalProtect (portail et passerelle)
CISA KEV - exploitation observée

Cette vulnérabilité est inscrite au catalogue des vulnérabilités activement exploitées de la CISA. Traitement prioritaire recommandé.

Le contexte

La vulnérabilité touche les composants portail et passerelle de GlobalProtect, le service d'accès VPN de PAN-OS. L'avis initial (PAN-SA-2026-0012) date du 13 mai, avec une mise à jour les 28-29 mai signalant des tentatives d'exploitation sur des appliances non patchées et sans mitigation. Rapid7 a rapporté des exploitations réussies chez plusieurs clients, certaines remontant à plusieurs semaines avant l'assignation du CVE - comportement cohérent avec un acteur ayant cartographié les endpoints GlobalProtect en amont. La CISA l'a ajoutée au catalogue KEV le 29 mai.

La mécanique

Un attaquant distant, sans authentification ni interaction utilisateur, peut forger une requête HTTP qui amène l'appliance à considérer une session comme déjà authentifiée, sans présenter ni identifiant, ni mot de passe, ni certificat. Le résultat est l'établissement d'une connexion VPN non autorisée dans le réseau interne protégé par le pare-feu.

La racine du problème (CWE-565) est l'acceptation d'un cookie de session sans contrôle d'intégrité : il devient possible d'asserter un contexte de session sans compléter l'authentification primaire.

La condition d'exposition est précise : la faille n'est atteignable que lorsque le portail ou la passerelle GlobalProtect est configuré avec les cookies d'override d'authentification activés et qu'une configuration de certificat particulière est présente.

Panorama et Cloud NGFW ne sont pas affectés. Prisma Access est mis à niveau par l'éditeur selon son propre calendrier.

Remédiation

  1. Patcher en priorité absolue. Appliquer la version corrigée de PAN-OS indiquée dans l'avis éditeur pour votre branche de déploiement. Vérifier le chemin de mise à niveau applicable à votre matrice de versions.
  2. Mitigation temporaire si le patch ne peut être appliqué immédiatement : soit désactiver la fonction d'override d'authentification, soit générer un nouveau certificat dédié exclusivement à cette fonction. À traiter comme palliatif, jamais comme substitut au patch.

Chasse à la compromission

Rechercher dans les journaux d'authentification PAN-OS :

  • sessions GlobalProtect établies sans événement d'authentification réussie corrélé ;
  • connexions depuis des IP ou géolocalisations inhabituelles ;
  • chaînes user-agent ou identifiants clients anormaux ;
  • tentatives répétées et courtes contournant le flux d'authentification normal.

Ce qu'il faut retenir

Un bypass d'authentification sur un équipement VPN exposé en bordure de réseau a un impact organisationnel majeur : il contourne directement le contrôle d'accès distant. Les échéances fédérales BOD 22-01 rapportées divergent selon les sources (entre le 1er et le 19 juin) ; quelle que soit la date retenue, tout déploiement GlobalProtect exposé sur Internet doit être traité comme une urgence immédiate, et présumé compromis si exposé sans patch ni mitigation.

  • Kreomnis

Références

#palo-alto#pan-os#globalprotect#vpn#auth-bypass#kev