🗓️ Contexte

Publié le 6 mai 2026 par Eduard Kovacs sur SecurityWeek, cet article rapporte la divulgation par Palo Alto Networks d’une vulnérabilité zero-day critique activement exploitée dans son système d’exploitation PAN-OS.

🔍 Vulnérabilité

  • CVE : CVE-2026-0300
  • Type : Buffer overflow
  • Composant affecté : Service User-ID Authentication Portal (Captive Portal) de PAN-OS
  • Matériels impactés : Firewalls des séries PA et VM configurés avec le portail d’authentification User-ID
  • Matériels non impactés : Prisma Access, Cloud NGFW, Panorama

💥 Impact

Un attaquant non authentifié peut exécuter du code malveillant avec des privilèges root via l’envoi de paquets spécialement forgés vers le portail exposé à des adresses IP non fiables ou à l’internet public.

🎯 Exploitation observée

Palo Alto Networks indique une exploitation limitée ciblant des portails User-ID Authentication exposés à des IP non fiables ou à l’internet. Ce type d’exploitation limitée est généralement associé à des attaques hautement ciblées menées par des acteurs sophistiqués, potentiellement étatiques. Aucun groupe spécifique n’a été nommé.

📅 Calendrier des correctifs

  • Premier round de patches : 13 mai 2026
  • Second round de patches : 28 mai 2026

📋 Statut institutionnel

  • CVE-2026-0300 n’est pas encore inclus dans le catalogue KEV de la CISA (qui recense actuellement 13 vulnérabilités Palo Alto)
  • En 2024, 7 vulnérabilités Palo Alto avaient été exploitées dans la nature, dont certaines par des groupes étatiques

📌 Type d’article

Article de presse spécialisée rapportant une annonce officielle de l’éditeur sur une vulnérabilité zero-day en cours d’exploitation, avec détails techniques et calendrier de remédiation.

🧠 TTPs et IOCs détectés

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)

IOC

🟡 Indice de vérification factuelle : 59/100 (moyenne)

  • ✅ securityweek.com — source reconnue (liste interne) (20pts)
  • ✅ 7625 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 2 TTP(s) MITRE (8pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommé (0pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.securityweek.com/palo-alto-networks-to-patch-zero-day-exploited-to-hack-firewalls/