Palo Alto Networks

🔍 Contexte Source : BleepingComputer, publié le 30 mai 2026 par Lawrence Abrams. Palo Alto Networks a mis à jour son advisory pour confirmer l’exploitation active de CVE-2026-0257, une vulnérabilité de contournement d’authentification affectant le composant GlobalProtect (portal et gateway) de PAN-OS. 🛡️ Description de la vulnérabilité La faille réside dans la validation des cookies d’authentification override par PAN-OS. Le mécanisme défaillant est le suivant : Le dispositif déchiffre les cookies d’override avec une clé privée configurée Il fait confiance au contenu déchiffré sans vérification de signature Si le même certificat est réutilisé pour les services HTTPS et les cookies d’override, un attaquant peut récupérer la clé publique via la session HTTPS Il peut alors forger des cookies d’authentification valides pour n’importe quel utilisateur, sans connaître les identifiants Conditions requises : authentication override cookies activés + configuration de certificat spécifique. ...

🗓️ Contexte Publié le 8 mai 2026 par Truesec, cet article de threat intelligence rapporte l’exploitation active d’une vulnérabilité critique dans PAN-OS de Palo Alto Networks, identifiée sous CVE-2026-0300. 🔍 Nature de la vulnérabilité CVE-2026-0300 est un buffer overflow affectant le service User-ID Authentication Portal de PAN-OS. Elle permet à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges root sur les équipements vulnérables. Selon l’Unit 42 de Palo Alto Networks, l’exploitation implique l’injection de shellcode dans un processus worker nginx tournant sur l’appliance PAN-OS. ...

🗓️ Contexte Publié le 6 mai 2026 par Eduard Kovacs sur SecurityWeek, cet article rapporte la divulgation par Palo Alto Networks d’une vulnérabilité zero-day critique activement exploitée dans son système d’exploitation PAN-OS. 🔍 Vulnérabilité CVE : CVE-2026-0300 Type : Buffer overflow Composant affecté : Service User-ID Authentication Portal (Captive Portal) de PAN-OS Matériels impactés : Firewalls des séries PA et VM configurés avec le portail d’authentification User-ID Matériels non impactés : Prisma Access, Cloud NGFW, Panorama 💥 Impact Un attaquant non authentifié peut exécuter du code malveillant avec des privilèges root via l’envoi de paquets spécialement forgés vers le portail exposé à des adresses IP non fiables ou à l’internet public. ...

IT-Connect rapporte la découverte et la correction de la vulnérabilité majeure CVE-2026-0227 affectant PAN-OS, le système des pare-feu Palo Alto Networks. Vulnérabilité: CVE-2026-0227 Produits concernés: PAN-OS (pare-feu Palo Alto Networks) Impact principal: désactivation à distance du pare-feu 🚨 Statut: corrigée (patch disponible) L’article met en avant le caractère important de la faille et souligne le risque clé: la possibilité de désactiver le pare-feu à distance, compromettant la protection réseau jusqu’à l’application du correctif. ...

Selon Clubic, Google Cloud et Palo Alto Networks annoncent un partenariat stratégique d’un montant approchant les 10 milliards de dollars sur plusieurs années, le plus important contrat de sécurité jamais signé par Google Cloud, dans un contexte où la majorité des entreprises ont subi des attaques visant leur infrastructure IA en 2025. • Portée et ampleur du deal 🛡️☁️ L’accord, présenté comme historique, vise à sécuriser l’infrastructure cloud face aux menaces propres à l’ère de l’IA. Il s’appuie sur une collaboration entamée en 2018, déjà forte de plus de 75 intégrations et de 2 Md$ générés via le Google Cloud Marketplace. Palo Alto Networks revendique plus de 70 000 organisations clientes et renforce son ancrage dans l’écosystème Google. ...

Selon Cyber Security News, une campagne d’exploitation active vise les portails Palo Alto Networks GlobalProtect depuis fin novembre 2025, avec un suivi par GrayNoise et Shadowserver montrant des scans et tentatives d’intrusion en provenance de plus de 7 000 IP réparties mondialement. — Contexte et ampleur de l’attaque — • Des scans massifs et des tentatives d’exploitation ciblent les passerelles GlobalProtect exposées sur Internet, notamment via UDP 4501. Les sources incluent des proxies résidentiels, des hébergeurs bulletproof et des VPS compromis en Asie, Europe et Amérique du Nord. Un chercheur mentionne des acteurs qui enchaînent des exploits connus et recherchent des configurations faibles. ...

Security Affairs relaie une analyse de GreyNoise signalant un pic inhabituel de scans dirigés vers les portails de connexion Palo Alto Networks le 3 octobre 2025, au plus haut niveau des trois derniers mois. 🚨 Chiffres clés: 1 285 IPs ont scanné les portails Palo Alto (vs ~200 habituellement). 93% des IPs sont jugées « suspectes », 7% « malveillantes ». 🌍 Répartition: majorité des sources depuis les États-Unis, avec des grappes plus petites au Royaume-Uni, Pays-Bas, Canada et Russie. Les scans visent des profils Palo Alto émulés, avec un focus notable sur des systèmes situés aux États-Unis et au Pakistan. ...

Selon GreyNoise (blog), un pic de reconnaissance structurée ciblant les portails de connexion Palo Alto a été détecté le 3 octobre 2025, marquant le volume le plus élevé observé en 90 jours. 🚨 Surge de scans: ~1 300 IP uniques (hausse de 500 % par rapport à la baseline <200/jour). 93 % des IP sont classées suspicious et 7 % malicious. Les cibles sont principalement les profils GlobalProtect et PAN‑OS. La dynamique rappelle des activités de scan vues avant des divulgations de zero‑day (ex. Cisco ASA), bien que ce motif précis n’ait pas historiquement corrélé à de nouvelles divulgations pour Palo Alto. GreyNoise recommande une surveillance renforcée et d’envisager le blocage des infrastructures malveillantes identifiées. ...

Selon BleepingComputer, Palo Alto Networks a confirmé avoir été victime d’une fuite de données via des tokens OAuth compromis provenant de l’incident Salesloft Drift, permettant à des attaquants d’accéder à son instance Salesforce. L’entreprise précise que l’impact est limité à son CRM Salesforce et n’affecte aucun produit, système ou service. L’attaque, suivie par Google Threat Intelligence sous le nom UNC6395, a exploité des tokens OAuth volés pour réaliser une exfiltration de masse de données depuis les objets Salesforce Account, Contact, Case et Opportunity. Les acteurs ont utilisé des outils automatisés (user-agents observés: python-requests/2.32.4, Python/3.11 aiohttp/3.12.15, Salesforce-Multi-Org-Fetcher/1.0, Salesforce-CLI/1.0), ont supprimé des logs/queries pour masquer leurs traces et ont recouru à Tor pour obfusquer leur origine. ...