Vulnérabilité Critique dans le portail d’authentification GlobalProtect de PAN-OS

Produits concernés

• PAN-OS 11.1 versions antérieures à 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 et 11.1.15

• PAN-OS 10.2 versions antérieures à 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 et 10.2.18-h6

• PAN-OS 11.2 versions antérieures à 11.2.12 (et hotfixes associés)

• PAN-OS 12.1 versions antérieures à 12.1.7 (et 12.1.4-h6)

• Prisma Access 11.2.0 versions antérieures à 11.2.7-h13

• Prisma Access 10.2.0 versions antérieures à 10.2.10-h36

• Panorama et Cloud NGFW ne sont pas impactés par cette vulnérabilité

Prérequis

• Accès réseau au portail ou à la passerelle GlobalProtect exposés sur l'équipement PAN-OS

• Le produit affecté doit avoir la fonctionnalité "authentication override" activée sur le portail ou la passerelle GlobalProtect

• Le certificat de chiffrement/déchiffrement du cookie d'authentication override doit être réutilisé par une autre fonctionnalité (typiquement le service HTTPS du portail/gateway)

• Le service Cloud Authentication Service (CAS) est désactivé (condition observée sur les environnements compromis)

Risques

• Contournement d'authentification du portail/gateway GlobalProtect

• Accès au réseau interne de l'entreprise

• Exfiltration de données sensibles

• Déploiement de malware sur les actifs accessibles depuis le tunnel VPN

Résumé

Une vulnérabilité critique de type "Contournement d'authentification" affectant les solutions PAN-OS GlobalProtect a été publiée par l'éditeur PaloAlto le 13 mai 2026. L'avis a été mis à jour le 29 mai 2026 afin de confirmer une exploitation active de la vulnérabilité. La société Rapid7 (équipe MDR) a publié une analyse détaillée des campagnes d'exploitation observées.

La solution PaloAlto Networks PAN-OS GlobalProtect permet de fournir un accès VPN distant sécurisé aux utilisateurs d'une organisation, en authentifiant les clients via un portail et une passerelle exposés sur Internet.

• CVE-2026-0257 : Une vulnérabilité dans le composant GlobalProtect portal et gateway de PAN-OS pourrait permettre à un attaquant distant non authentifié de forger un cookie d'authentification et d'établir une connexion VPN non autorisée sur l'équipement. La faille existe dans une fonctionnalité non activée par défaut appelée "authentication override", qui permet aux portails et passerelles GlobalProtect d'émettre des cookies de session aux utilisateurs authentifiés pour ne pas avoir à se réauthentifier à chaque session. La faille est déclenchée uniquement lorsque le certificat utilisé pour chiffrer et déchiffrer ces cookies d'authentication override est partagé avec une autre fonctionnalité, telle que le service HTTPS du portail ou de la passerelle. Le processus de déchiffrement dans le binaire /usr/local/bin/gpsvc n'effectue pas de vérification de signature après déchiffrement du cookie. Cela signifie qu'un attaquant capable de récupérer la clé publique depuis le certificat HTTPS exposé peut forger un cookie d'authentification valide et contourner complètement l'authentification. L'attaquant n'a pas besoin d'identifiants valides pour exploiter cette vulnérabilité.

L'exploitation de cette CVE pourrait permettre à l'attaquant à minima un accès VPN non autorisé au réseau interne, équivalent à celui d'un utilisateur VPN authentifié, ouvrant la voie à la reconnaissance interne, à la collecte d'identifiants, au mouvement latéral et à des attaques ciblant l'infrastructure interne, ainsi qu'à de l'exfiltration de données sensibles.

Des exploitations de cette vulnérabilité ont déjà été observées depuis le 17 mai 2026. Deux vagues d'attaques distinctes ont été documentées : la première vague a démarré le 18 mai depuis une infrastructure hébergée chez Vultr, et une seconde vague a été détectée le 21 mai depuis le fournisseur Dromatics Systems. Dans les deux campagnes, les attaquants ont utilisé des cookies d'authentication override forgés ciblant le compte administrateur local, authentifiant avec succès sur les passerelles GlobalProtect et établissant des tunnels VPN non autorisés vers les réseaux d'entreprise.

Étant donné le risque associé, nous préconisons de corriger cette vulnérabilité sans plus attendre pour toute machine exposée sur Internet.

Solutions

Détection de la compromission :

Afin de vérifier si un équipement est compromis, vous pouvez :

• Si un accès aux logs GlobalProtect est possible, auditer les sessions VPN authentifiées par cookie d'override, particulièrement celles associées au compte administrateur local ou à tout compte privilégié.

• Rechercher dans les journaux d'authentification du portail/gateway des sessions sans événement d'authentification primaire correspondant (cookie accepté sans login initial).

• Rechercher les connexions provenant des plages d'IPs suspectes.

• Identifier les sessions provenant d'utilisateurs avec des noms de machines incohérents ou inattendus (notamment hostnames artificiels).

• Vérifier dans les fichiers tech-support de l'appliance PaloAlto si le Cloud Authentication Service (CAS) est désactivé et si les authentication override cookies sont activés sur le portail ou la passerelle GlobalProtect, condition observée sur les environnements compromis.

• Rechercher les sessions ayant entraîné une affectation d'IP VPN sans corrélation administrative légitime.

Plusieurs indicateurs de compromission sont documentés publiquement, observés lors des deux vagues d'exploitation :

Adresses IP source :

• 104.207.144.154

• 146.19.216.125

Noms d'hôtes (machine name) présentés à la passerelle :

• "GP-CLIENT" (système Linux, observé lors de la première vague)

• "DESKTOP-GP01" (système Windows 10 Pro 64-bit, observé lors de la seconde vague)

Adresse MAC usurpée (identique sur les deux vagues) :

• aa:bb:cc:dd:ee:ff (adresse MAC spoofée constante)

Comportements observés :

• Authentification par cookie sur le compte administrateur local (login=admin), provenant des IP listées avec hostname forgé et MAC spoofée.

Remédiation :

Mettre à jour PAN-OS / Prisma Access vers les versions :

• PAN-OS 10.2 : 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7 ou 10.2.18-h6 (selon la branche de maintenance)

• PAN-OS 11.1 : 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5 ou 11.1.15 et ultérieures

• PAN-OS 11.2 : 11.2.12 et ses hotfixes

• PAN-OS 12.1 : 12.1.7 (ou hotfix 12.1.4-h6)

• Prisma Access 10.2 : 10.2.10-h36

• Prisma Access 11.2 : 11.2.7-h13

Mitigation :

Lorsque le patch ne peut être appliqué immédiatement, Palo Alto Networks propose les mesures suivantes :

• Utiliser un certificat dédié pour les cookies d'authentication override : générer un nouveau certificat exclusivement pour les cookies d'authentication override et le stocker de manière sécurisée.

• Désactiver la fonctionnalité authentication override si le patching ne peut pas être effectué immédiatement.

• Restreindre l'accès au portail et à la passerelle GlobalProtect aux plages d'adresses IP de confiance via ACL en amont (lorsque la nature du service le permet).

• Renforcer la supervision des sessions VPN établies sur le compte administrateur local et invalider toute session ne pouvant être reliée à un événement d'authentification légitime.

• Activer l'authentification multifacteur (MFA) sur tous les comptes GlobalProtect afin de limiter l'impact d'un bypass.

Références

• https://security.paloaltonetworks.com/CVE-2026-0257

• https://nvd.nist.gov/vuln/detail/CVE-2026-0257

• https://www.rapid7.com/blog/post/etr-rapid7-observed-exploitation-of-pan-os-globalprotect-authentication-bypass-vulnerability-cve-2026-0257/

Restez informés des dernières menaces !

Recevez les alertes de sécurité critiques et nos conseils pour protéger votre entreprise.

Merci pour votre inscription !

Oups ! Une erreur est survenue lors de l'envoi du formulaire.

Bulletins de Sécurité