CVE-2026-0300 : verrouillez d’urgence les portails Captive Portal de PAN-OS

Pourquoi l’urgence est réelle

Les caractéristiques publiées par Palo Alto cochent toutes les cases d’une vulnérabilité à traiter en priorité : vecteur d’attaque réseau, faible complexité, aucun privilège requis, aucune interaction utilisateur, aucune condition préalable d’attaque et exploitation automatisable ^[10]. Unit 42 indique avoir connaissance d’une exploitation limitée et suivre un groupe d’activité probablement parrainé par un État qui exploite CVE-2026-0300 ^[15]. Le Centre canadien pour la cybersécurité rapporte également que Palo Alto a reçu des signalements d’exploitation active et que la CISA, l’agence américaine de cybersécurité, a ajouté CVE-2026-0300 à son catalogue Known Exploited Vulnerabilities, ou KEV, le 6 mai 2026 ^[9].

Le terme « exploitation limitée » ne doit pas rassurer à tort. Le Center for Internet Security indique que les attaques observées visent des portails User-ID Authentication Portal exposés à des adresses IP non approuvées ou à Internet, tandis que les clients limitant ces portails sensibles à des réseaux internes de confiance sont à risque fortement réduit ^[26]. Unit 42 formule la même logique : le risque d’exécution de code à distance non authentifiée augmente fortement lorsque le portail est exposé à Internet public ou à des réseaux non approuvés ^[27].

Quels systèmes vérifier en premier

Commencez par les pare-feu Palo Alto Networks PA-Series et VM-Series exécutant PAN-OS lorsque le portail User-ID Authentication Portal/Captive Portal est activé ^[15][18]. Les informations publiques sur la notation de Palo Alto indiquent un score CVSS de 9,3 lorsque le portail est configuré pour être accessible depuis Internet ou un réseau non approuvé, contre 8,7 lorsque l’accès est limité à des adresses IP internes de confiance ^[7]. Un score plus bas ne signifie pas que le risque est corrigé : les systèmes limités à l’interne doivent eux aussi suivre la voie de remédiation recommandée par l’éditeur ^[1][10].

Unit 42 précise que Prisma Access, Cloud NGFW et les appliances Panorama ne sont pas affectés par cette vulnérabilité ^[27]. C’est utile pour resserrer le périmètre, mais cela ne remplace pas un audit complet des déploiements PA-Series et VM-Series, en particulier dans les environnements où Captive Portal a été exposé à des adresses IP non approuvées ^[26][27].

Plan d’action immédiat pour les administrateurs PAN-OS

1. Recenser tous les portails User-ID Authentication Portal

Inventoriez les pare-feu PAN-OS et identifiez les équipements PA-Series et VM-Series sur lesquels User-ID Authentication Portal/Captive Portal est activé ^[15][18]. Pour chaque équipement, notez si le portail est accessible depuis Internet, depuis un réseau non approuvé, ou uniquement depuis des plages d’adresses internes de confiance. Toute exposition publique ou non approuvée doit passer en tête de file, car c’est la configuration où le risque d’exploitation est le plus élevé ^[26][27].

2. Restreindre ou désactiver l’accès au portail

Limitez immédiatement le portail User-ID Authentication Portal aux seuls réseaux internes de confiance. Si cette restriction ne peut pas être appliquée de manière fiable, désactivez l’accès au portail jusqu’à la remédiation. L’agence singapourienne de cybersécurité recommande aux utilisateurs et administrateurs des versions affectées de restreindre ou désactiver l’accès au portail jusqu’à la disponibilité des mises à jour de sécurité ^[18].

3. Corriger à partir de l’avis Palo Alto, pas d’un tableau recopié

CERT-EU recommande de mettre à jour les appliances affectées dès que les correctifs sont disponibles, tout en appliquant les contournements et mesures de mitigation entre-temps ^[1]. Utilisez l’avis Palo Alto Networks sur CVE-2026-0300 comme source de référence pour connaître les versions affectées et les versions corrigées correspondant à votre branche PAN-OS ^[10].

4. Vérifier l’exposition après la mise à jour

Ne partez pas du principe qu’une mise à jour logicielle suffit à elle seule. Après correction, confirmez que le portail User-ID Authentication Portal n’est plus joignable depuis Internet public ou des réseaux non approuvés, sauf besoin métier documenté et contrôles compensatoires en place. La restriction de ces portails sensibles aux réseaux internes de confiance est décrite comme une bonne pratique réduisant fortement le risque ^[26][27].

5. Examiner tout pare-feu qui a été exposé

Tout pare-feu affecté dont le portail a été exposé à des réseaux non approuvés doit faire l’objet d’une évaluation de compromission avant de retrouver un niveau de confiance normal. Conservez les journaux, examinez le trafic vers le portail, recherchez des changements de configuration inattendus et vérifiez l’absence d’activité post-exploitation. La raison est simple : une exploitation réussie peut donner à un attaquant non authentifié une exécution de code avec privilèges root sur le pare-feu ^[10][15][18].

Agences fédérales américaines : traiter le dossier comme une urgence KEV

Pour les équipes fédérales américaines soumises aux processus CISA KEV, CVE-2026-0300 n’est pas seulement une alerte éditeur. Le Centre canadien pour la cybersécurité indique que la CISA a ajouté cette vulnérabilité au catalogue KEV le 6 mai 2026 ^[9], et les informations disponibles indiquent que les agences fédérales doivent remédier aux vulnérabilités listées dans KEV au titre de BOD 22-01 ^[16].

Les équipes concernées devraient conserver une piste de preuve : inventaire des actifs, restriction ou désactivation du portail, état des correctifs, validation de la version PAN-OS corrigée, preuve de l’absence de chemin réseau non approuvé vers le portail et évaluation de compromission pour tout pare-feu précédemment exposé.

Si vous ne pouvez pas corriger immédiatement

Maintenez les mitigations jusqu’à ce que la version corrigée appropriée soit disponible et installée pour votre déploiement. Si l’activité métier ne permet pas de désactiver Captive Portal, restreignez l’accès à des plages IP internes de confiance et surveillez étroitement. Si ni la correction ni la restriction fiable ne sont possibles, isolez le pare-feu de tout accès non approuvé ou retirez le service exposé jusqu’à la remédiation. Le risque résiduel est clair : exposition réseau, absence d’authentification, exploitation automatisable et exploitation active déjà signalée ^[9][10][18].

Erreurs à éviter

• N’attendez pas une maintenance planifiée si le portail est exposé à Internet ou à un réseau non approuvé : c’est la configuration la plus risquée dans les avis disponibles ^[26][27].
• Ne considérez pas une restriction « interne uniquement » comme une correction définitive. Elle réduit le risque, mais les équipements affectés doivent toujours suivre la remédiation PAN-OS appropriée ^[1][7].
• Ne prenez pas une liste de versions corrigées publiée par un tiers comme autorité finale. L’avis Palo Alto doit rester la source de référence pour l’état éditeur et les versions applicables ^[10].
• Ne vous arrêtez pas au patch si le pare-feu a été exposé pendant la période d’exploitation. Une revue de compromission est nécessaire, car la faille peut permettre l’exécution de code avec privilèges root ^[10][15][18].

La posture minimale raisonnable tient en trois actions : supprimer l’accès non approuvé au portail User-ID Authentication Portal, suivre l’avis Palo Alto pour la correction, puis investiguer tout pare-feu exposé avant de rétablir la confiance opérationnelle ^[1][10][18].