### CVE-2026-0257 : Contournement d'authentification dans PAN-OS La vulnérabilité, identifiée comme **CVE-2026-0257** (score CVSS : 7.8), implique un contournement d'authentification qui pourrait être exploité par des acteurs malveillants pour établir des connexions VPN. Selon **Palo Alto Networks**, le problème affecte les pare-feu avec un portail ou une passerelle GlobalProtect configurés lorsque les cookies de contournement d'authentification sont activés et qu'une configuration de certificat spécifique existe. « Les vulnérabilités de contournement d'authentification dans le portail et la passerelle GlobalProtect du logiciel PAN-OS® de Palo Alto Networks permettent à l'attaquant de contourner les restrictions de sécurité et d'établir une connexion VPN non autorisée », a déclaré l'entreprise dans son avis publié le 13 mai 2026. ### Exploitation en cours Dans une mise à jour du 29 mai 2026, **Palo Alto Networks** a reconnu des « tentatives d'exploit limitées sur des appareils PAN-OS non corrigés sans mesures d'atténuation appliquées ». Cela fait suite à un rapport de **Rapid7**, qui a identifié une exploitation réussie chez de nombreux clients, les premières tentatives remontant au 17 mai 2026 et une vague ultérieure le 21 mai. **Rapid7** attribue les deux ensembles d'exploitation au même acteur de menace. La deuxième vague d'activité comprenait l'attribution d'adresses IP VPN après authentification par cookie, accordant aux attaquants l'accès au réseau interne dans deux cas. Aucune activité de suivi n'a été observée dans les environnements clients où une session VPN a été établie. ### Évaluation de Rapid7 « Un contournement d'authentification dans un appareil VPN d'entreprise exposé peut avoir un impact significatif sur les organisations affectées », a averti **Rapid7**. « Par conséquent, les organisations utilisant des appareils affectés sont invitées à passer d'urgence à un correctif fourni par le fournisseur. » ### Stratégies d'atténuation Comme mesures d'atténuation temporaires, **Palo Alto Networks** recommande de désactiver la fonctionnalité de contournement d'authentification ou de générer un nouveau certificat à utiliser exclusivement pour la fonctionnalité de contournement d'authentification. ### Exploitation de FortiClient EMS L'exploitation de **CVE-2026-0257** fait suite à un rapport d'**Arctic Wolf** concernant la poursuite de la militarisation d'une faille de sécurité critique dans les déploiements de **FortiClient** Endpoint Management Server (EMS) (**CVE-2026-35616**, score CVSS : 9.1). Les acteurs de menace exploitent cette vulnérabilité pour distribuer un malware de vol d'informations d'identification connu sous le nom d'EKZ Infostealer.