🗓️ Contexte

Publié le 8 mai 2026 par Truesec, cet article de threat intelligence rapporte l’exploitation active d’une vulnérabilité critique dans PAN-OS de Palo Alto Networks, identifiée sous CVE-2026-0300.

🔍 Nature de la vulnérabilité

CVE-2026-0300 est un buffer overflow affectant le service User-ID Authentication Portal de PAN-OS. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges root sur les équipements vulnérables.

Selon l’Unit 42 de Palo Alto Networks, l’exploitation implique l’injection de shellcode dans un processus worker nginx tournant sur l’appliance PAN-OS.

⚠️ Conditions d’exploitation

Les équipements sont vulnérables uniquement si les deux conditions suivantes sont réunies :

  • Le portail d’authentification User-ID est activé (modes transparent ou redirect)
  • Un profil de gestion d’interface avec les pages de réponse activées est associé à une interface accessible depuis Internet

📦 Produits affectés

  • PAN-OS 12.1 – < 12.1.4-h5, < 12.1.7
  • PAN-OS 11.2 – < 11.2.4-h17, < 11.2.7-h13, < 11.2.10-h6, < 11.2.12
  • PAN-OS 11.1 – < 11.1.4-h33, < 11.1.6-h32, < 11.1.7-h6, < 11.1.10-h25, < 11.1.13-h5, < 11.1.15
  • PAN-OS 10.2 – < 10.2.7-h34, < 10.2.10-h36, < 10.2.13-h21, < 10.2.16-h7, < 10.2.18-h6

🕵️ Attribution et chronologie

  • 9 avril 2026 : premières tentatives d’exploitation infructueuses détectées par Palo Alto Networks
  • ~16 avril 2026 : exploitation réussie avec injection de shellcode sur un équipement vulnérable
  • L’activité est attribuée au cluster CL-STA-1132, désigné comme acteur à probable parrainage étatique

📄 Type d’article

Il s’agit d’une alerte de sécurité combinant des éléments d’analyse technique, publiée par Truesec pour informer les défenseurs de l’exploitation active en cours et des versions affectées.

🧠 TTPs et IOCs détectés

Acteurs de menace

  • CL-STA-1132 (state-sponsored) —

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1059 — Command and Scripting Interpreter (Execution)
  • T1068 — Exploitation for Privilege Escalation (Privilege Escalation)

IOC

🟡 Indice de vérification factuelle : 51/100 (moyenne)

  • ⬜ truesec.com — source non référencée (0pts)
  • ✅ 4322 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vérifié (0pts)
  • ✅ 3 TTPs MITRE identifiées (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ✅ acteur(s) identifié(s) : CL-STA-1132 (5pts)
  • ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.truesec.com/hub/blog/active-exploitation-of-pan-os-authentication-portal-rce