Threat Brief: Active Exploitation of PAN-OS CVE-2026-0257
We include indicators of activity and mitigations for PAN-OS vulnerability CVE-2026-0257.
Exploitation active de CVE-2026-0257 : contournement d'authentification GlobalProtect VPN
đ Contexte Source : BleepingComputer, publiĂ© le 30 mai 2026. Palo Alto Networks a mis Ă jour son advisory pour signaler lâexploitation active de CVE-2026-0257, une vulnĂ©rabilitĂ© de contournement dâauthentification affectant PAN-OS GlobalProtect (portail et passerelle VPN).
đ VulnĂ©rabilitĂ© CVE-2026-0257 : contournement des restrictions de sĂ©curitĂ© permettant dâĂ©tablir des connexions VPN non autorisĂ©es SĂ©vĂ©ritĂ© initialement Medium, rehaussĂ©e Ă High suite Ă lâexploitation active Condition dâexploitation : dispositifs configurĂ©s avec les authentication override cookies activĂ©s et une configuration de certificat spĂ©cifique La faille rĂ©side dans la validation des cookies dâoverride : PAN-OS dĂ©chiffre ces cookies avec une clĂ© privĂ©e configurĂ©e et fait confiance au contenu dĂ©chiffrĂ© sans vĂ©rification de signature Si le mĂȘme certificat est rĂ©utilisĂ© pour les services HTTPS et les cookies dâoverride, un attaquant peut rĂ©cupĂ©rer la clĂ© publique via la session HTTPS et forger des cookies valides đ
Chronologie des attaques 17 mai 2026 : premiĂšre exploitation observĂ©e (selon Rapid7) 18 mai 2026 : premiĂšre vague dĂ©tectĂ©e depuis une infrastructure hĂ©bergĂ©e par Vultr 21 mai 2026 : deuxiĂšme vague dĂ©tectĂ©e, originaire de Dromatics Systems 29 mai 2026 : ajout au catalogue CISA KEV 1er juin 2026 : date limite imposĂ©e aux agences fĂ©dĂ©rales amĂ©ricaines pour mitiger la faille đŻ MĂ©thode dâattaque Authentification aux passerelles GlobalProtect via des cookies dâoverride forgĂ©s ciblant le compte administrateur local Dans certains cas, connexion VPN Ă©tablie avec succĂšs, donnant accĂšs aux rĂ©seaux internes Dans dâautres cas, le cookie forgĂ© est acceptĂ© mais la session VPN complĂšte ne peut ĂȘtre Ă©tablie Aucun mouvement latĂ©ral observĂ© par Rapid7 depuis les dispositifs compromis Rapid7 a dĂ©veloppĂ© un proof-of-concept dĂ©montrant la rĂ©cupĂ©ration des certificats publics, la gĂ©nĂ©ration de cookies forgĂ©s et lâauthentification sans credentials valides đą Impact Exploitation confirmĂ©e contre de nombreux clients de Rapid7 MDR Cible : rĂ©seaux dâentreprise utilisant GlobalProtect VPN non patchĂ© đ Type dâarticle Alerte de sĂ©curitĂ© combinant un rapport dâexploitation active. But principal : informer les organisations de lâexploitation en cours de CVE-2026-0257 et documenter les conditions techniques de la vulnĂ©rabilitĂ©.
CVE-2026-0257 : contournement d'authentification GlobalProtect VPN activement exploité
đ Contexte Source : BleepingComputer, publiĂ© le 30 mai 2026 par Lawrence Abrams. Palo Alto Networks a mis Ă jour son advisory pour confirmer lâexploitation active de CVE-2026-0257, une vulnĂ©rabilitĂ© de contournement dâauthentification affectant le composant GlobalProtect (portal et gateway) de PAN-OS.
đĄïž Description de la vulnĂ©rabilitĂ© La faille rĂ©side dans la validation des cookies dâauthentification override par PAN-OS. Le mĂ©canisme dĂ©faillant est le suivant :
Le dispositif dĂ©chiffre les cookies dâoverride avec une clĂ© privĂ©e configurĂ©e Il fait confiance au contenu dĂ©chiffrĂ© sans vĂ©rification de signature Si le mĂȘme certificat est rĂ©utilisĂ© pour les services HTTPS et les cookies dâoverride, un attaquant peut rĂ©cupĂ©rer la clĂ© publique via la session HTTPS Il peut alors forger des cookies dâauthentification valides pour nâimporte quel utilisateur, sans connaĂźtre les identifiants Conditions requises : authentication override cookies activĂ©s + configuration de certificat spĂ©cifique.
The Threat Codex
CyberVeille.ch