🔍 Contexte

Source : BleepingComputer, publiĂ© le 30 mai 2026 par Lawrence Abrams. Palo Alto Networks a mis Ă  jour son advisory pour confirmer l’exploitation active de CVE-2026-0257, une vulnĂ©rabilitĂ© de contournement d’authentification affectant le composant GlobalProtect (portal et gateway) de PAN-OS.

đŸ›Ąïž Description de la vulnĂ©rabilitĂ©

La faille rĂ©side dans la validation des cookies d’authentification override par PAN-OS. Le mĂ©canisme dĂ©faillant est le suivant :

  • Le dispositif dĂ©chiffre les cookies d’override avec une clĂ© privĂ©e configurĂ©e
  • Il fait confiance au contenu dĂ©chiffrĂ© sans vĂ©rification de signature
  • Si le mĂȘme certificat est rĂ©utilisĂ© pour les services HTTPS et les cookies d’override, un attaquant peut rĂ©cupĂ©rer la clĂ© publique via la session HTTPS
  • Il peut alors forger des cookies d’authentification valides pour n’importe quel utilisateur, sans connaĂźtre les identifiants

Conditions requises : authentication override cookies activés + configuration de certificat spécifique.

📅 Chronologie des Ă©vĂ©nements

  • DĂ©but mai 2026 : Palo Alto Networks publie un correctif, sĂ©vĂ©ritĂ© initiale Medium
  • 17 mai 2026 : PremiĂšre exploitation observĂ©e par Rapid7 MDR
  • 18 mai 2026 : PremiĂšre vague d’attaques depuis infrastructure Vultr
  • 21 mai 2026 : DeuxiĂšme vague depuis Dromatics Systems
  • 29 mai 2026 : Ajout au catalogue CISA KEV
  • 30 mai 2026 : Palo Alto met Ă  jour l’advisory, sĂ©vĂ©ritĂ© rehaussĂ©e Ă  High

🎯 Impact observĂ©

  • Exploitation confirmĂ©e contre de nombreux clients de Rapid7
  • Authentification rĂ©ussie via cookies forgĂ©s ciblant le compte administrateur local
  • AccĂšs aux rĂ©seaux internes via VPN dans certains cas
  • Aucun mouvement latĂ©ral confirmĂ© depuis les dispositifs compromis
  • Dans plusieurs incidents, le cookie forgĂ© a Ă©tĂ© acceptĂ© mais la session VPN complĂšte n’a pas pu ĂȘtre Ă©tablie

đŸ§Ș Preuve de concept

Rapid7 a dĂ©veloppĂ© un PoC permettant de : rĂ©cupĂ©rer les certificats publics exposĂ©s par un portail/gateway GlobalProtect, gĂ©nĂ©rer un cookie d’override forgĂ© pour un utilisateur arbitraire, et s’authentifier sans identifiants valides.

📋 Type d’article

Alerte de sĂ©curitĂ© combinant annonce d’exploitation active, analyse technique de la vulnĂ©rabilitĂ© et mise Ă  jour d’advisory vendor. But principal : informer les opĂ©rateurs de dispositifs GlobalProtect de l’exploitation en cours et de la nĂ©cessitĂ© de patcher.

🧠 TTPs et IOCs dĂ©tectĂ©s

TTP

  • T1190 — Exploit Public-Facing Application (Initial Access)
  • T1078 — Valid Accounts (Defense Evasion)
  • T1550.004 — Use Alternate Authentication Material: Web Session Cookie (Lateral Movement)
  • T1133 — External Remote Services (Initial Access)

IOC

  • CVEs : CVE-2026-0257 — NVD · CIRCL

🟱 Indice de vĂ©rification factuelle : 66/100 (haute)

  • ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
  • ✅ 11151 chars — texte complet (fulltext extrait) (15pts)
  • ✅ 1 IOC(s) (6pts)
  • ⬜ pas d’IOC vĂ©rifiĂ© (0pts)
  • ✅ 4 TTPs MITRE identifiĂ©es (15pts)
  • ✅ date extraite du HTML source (10pts)
  • ⬜ aucun acteur de menace nommĂ© (0pts)
  • ⬜ 0/1 CVE(s) confirmĂ©e(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/palo-alto-globalprotect-vpn-auth-bypass-flaw-now-exploited-in-attacks/