### Exploitation de faille zero-day dans la nature **Palo Alto Networks** a révélé que des acteurs de la menace ont pu tenter, sans succès, d'exploiter une faille de sécurité critique récemment divulguée dès le 9 avril 2026. La vulnérabilité en question est **CVE-2026-0300** (score CVSS : 9.3/8.7), une vulnérabilité de dépassement de tampon dans le service de portail d'authentification User-ID du logiciel PAN-OS de **Palo Alto Networks**. Cette faille pourrait permettre à un attaquant non authentifié d'exécuter du code arbitraire avec des privilèges root en envoyant des paquets spécialement conçus. ### Stratégies d'atténuation Bien que des correctifs soient attendus à partir du 13 mai 2026, il est conseillé aux clients de sécuriser l'accès au portail d'authentification User-ID de PAN-OS en restreignant l'accès aux zones de confiance ou en le désactivant complètement s'il n'est pas utilisé. En tant qu'atténuation supplémentaire, la société recommande de désactiver les pages de réponse dans le profil de gestion d'interface pour toute interface L3 où du trafic non fiable ou Internet peut pénétrer. Les clients disposant de la solution Advanced Threat Prevention peuvent également bloquer les tentatives d'exploitation en activant l'ID de menace 510019 à partir de la version 9097-10022 du contenu Applications et menaces. ### Suivi de l'acteur de la menace : CL-STA-1132 Dans un avis, la société de sécurité réseau a déclaré être au courant d'une exploitation limitée de la faille et suit l'activité sous **CL-STA-1132**, un groupe de menaces soupçonné d'être parrainé par un État et d'origine inconnue. "L'attaquant derrière cette activité a exploité CVE-2026-0300 pour obtenir une exécution de code à distance (RCE) sans authentification dans le logiciel PAN-OS. Après une exploitation réussie, l'attaquant a pu injecter du shellcode dans un processus worker nginx", a déclaré l'unité 42 de **Palo Alto Networks**. ### Activités post-exploitation La société de cybersécurité a observé des tentatives d'exploitation infructueuses contre un appareil PAN-OS à partir du 9 avril 2026. Une semaine plus tard, les attaquants ont réussi à obtenir une exécution de code à distance contre l'appareil et ont injecté du shellcode. Immédiatement après avoir obtenu l'accès initial, les acteurs de la menace ont tenté de couvrir leurs traces en effaçant les messages du noyau de plantage, en supprimant les entrées et les enregistrements de plantage nginx, et en supprimant les fichiers de vidage de cœur de plantage. Les activités post-exploitation comprenaient la réalisation d'une énumération Active Directory (AD) et le dépôt de charges utiles supplémentaires telles que **EarthWorm** et **ReverseSocks5** contre un deuxième appareil le 29 avril 2026. Ces deux outils ont été précédemment associés à des groupes de piratage liés à la Chine. ### Ciblage des actifs du réseau périphérique "Au cours des cinq dernières années, les acteurs de la menace étatiques engagés dans l'espionnage cybernétique ont de plus en plus concentré leurs efforts sur les actifs technologiques du réseau périphérique, y compris les pare-feu, les routeurs, les appareils IoT, les hyperviseurs et diverses solutions VPN, qui offrent un accès à privilèges élevés tout en manquant souvent des journaux robustes et des agents de sécurité trouvés sur les points de terminaison standard", a déclaré l'unité 42. "La dépendance des attaquants derrière CL-STA-1132 à l'égard d'outils open-source, plutôt que de malwares propriétaires, a minimisé la détection basée sur les signatures et a facilité une intégration transparente dans l'environnement. Ce choix technique, combiné à une cadence opérationnelle disciplinée de sessions interactives intermittentes sur une période de plusieurs semaines, est resté intentionnellement en deçà des seuils comportementaux de la plupart des systèmes d'alerte automatisés."