**Palo Alto Networks** a mis à jour son avis concernant **CVE-2026-0257**, une faille affectant le portail et la passerelle GlobalProtect de PAN-OS. Initialement classée comme de gravité moyenne, la vulnérabilité a été rehaussée à critique en raison de son exploitation active. ## La Vulnérabilité : CVE-2026-0257 La vulnérabilité, référencée sous **CVE-2026-0257**, permet aux attaquants de contourner les restrictions de sécurité et d'établir des connexions VPN non autorisées. Selon l'avis de **Palo Alto**, la faille réside dans le portail et la passerelle GlobalProtect du logiciel PAN-OS. L'évaluation initiale considérait l'impact de la faille comme de gravité moyenne en raison de prérequis de configuration spécifiques : les appareils devaient avoir les cookies de remplacement d'authentification activés et une configuration de certificat particulière. ## Exploitation Active et Rehaussement de la Gravité Vendredi, **Palo Alto Networks** a révisé son avis, confirmant l'exploitation active de la vulnérabilité sur des appareils non patchés. Cela a entraîné une augmentation de la classification de gravité à critique. "Palo Alto Networks a eu connaissance de tentatives d'exploit limitées sur des appareils PAN-OS non patchés sans mesures d'atténuation appliquées", indique l'avis mis à jour. ## Observations de Rapid7 Cette mise à jour correspond aux avertissements antérieurs de **Rapid7**, qui a observé des tentatives d'exploitation contre de nombreux clients à partir du 17 mai 2026. "Rapid7 MDR a identifié des exploitations réussies chez de nombreux clients, cependant nous n'avons observé aucune indication de mouvement latéral réussi depuis les appareils. La date la plus ancienne d'exploitation observée était le 17 mai 2026", a rapporté **Rapid7**. De plus, **Rapid7** a noté que "Depuis le 29 mai 2026, cette vulnérabilité a été ajoutée au catalogue KEV de la **CISA**." ## Détails de l'Attaque Selon **Rapid7**, les attaquants s'authentifient auprès des passerelles GlobalProtect en utilisant des cookies de remplacement d'authentification forgés ciblant le compte administrateur local. L'exploitation a été observée pour la première fois le 18 mai à partir d'une infrastructure hébergée par **Vultr**, suivie d'une deuxième vague le 21 mai provenant de Dromatics Systems. Bien que les attaquants aient parfois réussi à se connecter aux réseaux internes via VPN en utilisant des cookies forgés, **Rapid7** a noté des cas où une session VPN complète n'a pas pu être établie malgré l'acceptation du cookie forgé par l'appliance. ## Analyse de la Cause Racine L'enquête de **Rapid7** a révélé que les appareils affectés avaient les cookies de remplacement d'authentification GlobalProtect activés et étaient configurés pour permettre la falsification de cookies d'authentification valides. La vulnérabilité découle du processus de validation des cookies de remplacement d'authentification par PAN-OS. Le périphérique VPN GlobalProtect déchiffre ces cookies à l'aide d'une clé privée configurée et fait confiance au contenu déchiffré sans vérification de signature. Si le même certificat est réutilisé pour les services HTTPS et les cookies de remplacement d'authentification, les attaquants peuvent obtenir la clé publique correspondante via la session HTTPS. Cela leur permet de créer des cookies forgés que le périphérique acceptera comme légitimes. ## Exploit de Preuve de Concept **Rapid7** a développé un exploit de preuve de concept pour démontrer comment un attaquant peut récupérer les certificats publics exposés par un portail ou une passerelle GlobalProtect, générer un cookie de remplacement d'authentification forgé pour un utilisateur arbitraire, et s'authentifier sans identifiants valides. Ce PoC s'est authentifié avec succès auprès d'une passerelle GlobalProtect non patchée. ## Remédiation et Atténuation Il est fortement conseillé aux organisations utilisant des périphériques VPN GlobalProtect d'installer immédiatement les dernières mises à jour de sécurité pour corriger la faille. Les stratégies d'atténuation alternatives incluent la désactivation de la fonctionnalité de remplacement d'authentification ou l'utilisation d'un certificat distinct pour cette fonctionnalité, en s'assurant qu'il n'est pas partagé avec d'autres services sur l'appareil. La **CISA** a ajouté la faille à son catalogue de vulnérabilités connues exploitées, obligeant les agences fédérales à l'atténuer d'ici le 1er juin 2026.  ## Le fossé de validation : le pentesting automatisé répond à une question. Vous en avez besoin de six. Les outils de pentesting automatisés apportent une réelle valeur, mais ils ont été conçus pour répondre à une seule question : un attaquant peut-il se déplacer sur le réseau ? Ils n'ont pas été conçus pour tester si vos contrôles bloquent les menaces, si vos règles de détection se déclenchent, ou si vos configurations cloud tiennent bon. Ce guide couvre les 6 surfaces que vous devez réellement valider. [Télécharger maintenant](https://hubs.li/Q048zztN0)