Une faille de sécurité critique dans les pare-feu de Palo Alto Networks fait désormais l'objet d'une attaque active. Les pirates utilisent de faux cookies d'authentification pour contourner les contrôles de sécurité et accéder aux sessions VPN.ils n'ont jamais eu la permission d'entrer.
La vulnérabilité, identifiée comme CVE-2026-0257, affecte GlobalProtect, la solution VPN d'accès à distance de Palo Alto intégrée à PAN-OS. Palo Alto l'a divulgué le 13 mai. Les attaquants l'ont attaqué en quelques jours.
Les faux cookies débloquent l'accès VPN à plusieurs victimes
La société de sécurité Rapid7 a détecté les attaques très tôt. Selon Rapid7, les attaquants ont envoyé de faux cookies d'authentification aux pare-feu dans plusieurs environnements clients, et les appliances ont accepté ces cookies sans établir de session VPN complète chez 8 clients sur 10 concernés par la détection et la réponse gérées (MDR). Il s’agit d’un taux de réussite élevé pour ce qui équivaut à une opération de falsification d’identifiants.
La société n’a observé aucun mouvement latéral confirmé de la part des appareils compromis. Les attaquants ont réussi à pénétrer mais ne sont pas encore parvenus à pénétrer plus profondément dans les réseaux.
CVE-2026-0257 exploite une lacune dans la manière dont les pare-feu Palo Alto gèrent l'authentification basée sur les cookies. Les pare-feu acceptent les cookies sans effectuer de contrôles approfondis de validation ou d'intégrité. Cette lacune permet aux attaquants distants non authentifiés de contourner les restrictions de sécurité et d’établir des connexions VPN non autorisées.
Selon Palo Alto Networks, le problème cible spécifiquement les pare-feu exécutant le portail ou la passerelle GlobalProtect avec les cookies de remplacement d'authentification activés, ainsi qu'une configuration de certificat particulière. La vulnérabilité couvre à la fois les pare-feu physiques et virtuels exécutant PAN-OS, ainsi que Prisma Access, la version cloud des capacités de pare-feu de Palo Alto.
Comment fonctionne réellement l’attaque
La fonctionnalité de remplacement de l'authentification a démarré comme un outil pratique. Il émet des cookies aux utilisateurs déjà vérifiés afin qu'ils n'aient pas à ressaisir leurs informations d'identification à chaque nouvelle connexion. En cas de mauvaise configuration du certificat, cette commodité devient une porte ouverte.
Rapid7 a cassé la mécanique. Lorsque le certificat gérant les cookies de substitution d’authentification est le même certificat qui alimente le service HTTPS du portail, les attaquants peuvent extraire la clé publique simplement en se connectant à ce service HTTPS.
Cette clé leur donne ce dont ils ont besoin pour créer un cookie de remplacement d'authentification valide. Le serveur déchiffre ensuite le cookie et approuve son contenu sans effectuer aucune vérification de signature.
Pas de deuxième contrôle. Aucune alerte. Le pare-feu accepte la connexion.
Rapid7 a enregistré deux vagues d'attaques distinctes : la première le 17 mai 2026 et la seconde le 21 mai. Les deux vagues portaient une adresse MAC usurpée cohérente. Selon Rapid7, les détails partagés indiquent fortement qu’un seul acteur menaçant dirige les deux opérations.
Rapid7 a depuis publié des indicateurs de compromission ainsi qu'un script de validation de principe que les équipes de sécurité peuvent utiliser pour tester si leurs appliances sont toujours exposées.
La CISA intervient alors que la date limite approche
L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté CVE-2026-0257 à son catalogue de vulnérabilités exploitées connues. L'agence a ordonné à toutes les agences civiles fédérales américaines de remédier à la faille d'ici le 1er juin 2026, ce qui constitue aujourd'hui la date limite d'application.
Les violations liées aux certificats font l’objet d’une surveillance croissante.Brèche de DigiCertet le vol de certificats de signature de code mettent en évidence à quel point les vulnérabilités de l’infrastructure des certificats peuvent avoir des conséquences généralisées.
Les clients de Palo Alto qui n’ont pas effectué de mise à niveau vers une version corrigée doivent agir maintenant. Il existe trois voies de remédiation. La première consiste à passer immédiatement à la version fixe de PAN-OS.
La seconde consiste à désactiver entièrement la fonction de remplacement de l’authentification. La troisième consiste à générer un nouveau certificat dédié uniquement pour le remplacement de l'authentification, complètement distinct du certificat servant le portail HTTPS.
Chaque option coupe le chemin d’attaque spécifique que les pirates utilisent actuellement. Laisser les systèmes sans correctifs, surtout après une exploitation confirmée à grande échelle, est un risque qu’aucune organisation ne devrait accepter.
La rapidité de cette situation mérite à elle seule qu’on s’y attarde. Palo Alto a révélé la vulnérabilité le 13 mai. Les attaquants ont lancé leur première vague quatre jours plus tard seulement. Cet écart entre la divulgation et l’exploitation active ne cesse de se réduire. Les équipes de sécurité ne peuvent plus se permettre de traiter les cycles de correctifs comme une maintenance de routine.