Exploitation active de CVE-2026-0257 : contournement d'authentification GlobalProtect VPN

🔍 Contexte

Source : BleepingComputer, publié le 30 mai 2026. Palo Alto Networks a mis à jour son advisory pour signaler l’exploitation active de CVE-2026-0257, une vulnérabilité de contournement d’authentification affectant PAN-OS GlobalProtect (portail et passerelle VPN).

🐛 Vulnérabilité

• CVE-2026-0257 : contournement des restrictions de sécurité permettant d’établir des connexions VPN non autorisées
• Sévérité initialement Medium, rehaussée à High suite à l’exploitation active
• Condition d’exploitation : dispositifs configurés avec les authentication override cookies activés et une configuration de certificat spécifique
• La faille réside dans la validation des cookies d’override : PAN-OS déchiffre ces cookies avec une clé privée configurée et fait confiance au contenu déchiffré sans vérification de signature
• Si le même certificat est réutilisé pour les services HTTPS et les cookies d’override, un attaquant peut récupérer la clé publique via la session HTTPS et forger des cookies valides

📅 Chronologie des attaques

• 17 mai 2026 : première exploitation observée (selon Rapid7)
• 18 mai 2026 : première vague détectée depuis une infrastructure hébergée par Vultr
• 21 mai 2026 : deuxième vague détectée, originaire de Dromatics Systems
• 29 mai 2026 : ajout au catalogue CISA KEV
• 1er juin 2026 : date limite imposée aux agences fédérales américaines pour mitiger la faille

🎯 Méthode d’attaque

• Authentification aux passerelles GlobalProtect via des cookies d’override forgés ciblant le compte administrateur local
• Dans certains cas, connexion VPN établie avec succès, donnant accès aux réseaux internes
• Dans d’autres cas, le cookie forgé est accepté mais la session VPN complète ne peut être établie
• Aucun mouvement latéral observé par Rapid7 depuis les dispositifs compromis
• Rapid7 a développé un proof-of-concept démontrant la récupération des certificats publics, la génération de cookies forgés et l’authentification sans credentials valides

🏢 Impact

• Exploitation confirmée contre de nombreux clients de Rapid7 MDR
• Cible : réseaux d’entreprise utilisant GlobalProtect VPN non patché

📄 Type d’article

Alerte de sécurité combinant un rapport d’exploitation active. But principal : informer les organisations de l’exploitation en cours de CVE-2026-0257 et documenter les conditions techniques de la vulnérabilité.

🧠 TTPs et IOCs détectés

TTP

• T1078 — Valid Accounts (Defense Evasion)
• T1550.004 — Use Alternate Authentication Material: Web Session Cookie (Lateral Movement)
• T1133 — External Remote Services (Initial Access)
• T1190 — Exploit Public-Facing Application (Initial Access)

IOC

• CVEs : CVE-2026-0257 — NVD · CIRCL

🟡 Indice de vérification factuelle : 56/100 (moyenne)

• ✅ bleepingcomputer.com — source reconnue (liste interne) (20pts)
• ✅ 4103 chars — texte complet (15pts)
• ✅ 1 IOC(s) (6pts)
• ⬜ pas d’IOC vérifié (0pts)
• ✅ 4 TTPs MITRE identifiées (15pts)
• ⬜ date RSS ou approximée (0pts)
• ⬜ aucun acteur de menace nommé (0pts)
• ⬜ 0/1 CVE(s) confirmée(s) (0pts)

🔗 Source originale : https://www.bleepingcomputer.com/news/security/palo-alto-globalprotect-vpn-auth-bypass-flaw-now-exploited-in-attacks/

🖴 Archive : https://web.archive.org/web/20260601071810/https://www.bleepingcomputer.com/news/security/palo-alto-globalprotect-vpn-auth-bypass-flaw-now-exploited-in-attacks/