**Palo Alto Networks** a publié un avis urgent concernant une vulnérabilité zero-day de gravité critique, référencée **CVE-2026-0300**, affectant les pare-feu PAN-OS. La vulnérabilité est activement exploitée par ce que l'entreprise considère comme des acteurs de menace parrainés par un État. ### CVE-2026-0300 : Exécution de code à distance dans PAN-OS **CVE-2026-0300** est une faille d'exécution de code à distance (RCE) découverte dans le portail d'authentification User-ID de PAN-OS (également connu sous le nom de portail captif). Cette vulnérabilité de dépassement de tampon permet à des attaquants non authentifiés d'exécuter du code arbitraire avec des privilèges root sur les pare-feu PA-Series et VM-Series exposés sur Internet. "Nous sommes actuellement au courant d'une exploitation limitée de CVE-2026-0300. Unit 42 suit CL-STA-1132, un cluster d'activités de menace probablement parrainées par un État exploitant CVE-2026-0300. L'attaquant derrière cette activité a exploité CVE-2026-0300 pour obtenir une exécution de code à distance (RCE) non authentifiée dans le logiciel PAN-OS", a déclaré l'entreprise. ### Chronologie de l'exploitation Selon **Palo Alto Networks**, les premières tentatives d'exploitation infructueuses ont été observées à partir du 9 avril 2026. Une semaine plus tard, les attaquants ont réussi à obtenir l'exécution de code à distance (RCE) et ont injecté du shellcode. Suite au compromis, les attaquants ont immédiatement tenté de dissimuler leurs traces en effaçant les messages du noyau de plantage, en supprimant les entrées et enregistrements de plantage nginx, ainsi qu'en retirant les fichiers de vidage de cœur de plantage. ### Activité post-exploitation : Earthworm et ReverseSocks5 Après avoir obtenu l'accès aux pare-feu des victimes, les attaquants ont déployé les outils de tunneling réseau open-source **Earthworm** et **ReverseSocks5**. Ces outils permettent la création de serveurs SOCKS v5 et de tunnels proxy sur les appareils compromis. * **Earthworm** : Permet aux acteurs de menace d'établir une communication discrète à travers des réseaux restreints. * **ReverseSocks5** : Permet de contourner le NAT et les pare-feu en créant une connexion sortante d'une machine cible vers un contrôleur. **Earthworm** a été précédemment lié à des attaques attribuées à des groupes de menace sinophones tels que CL-STA-0046, **Volt Typhoon**, UAT-8337 et **APT41**. ### Exposition et atténuation  _Pare-feu Palo Alto Networks VM-series exposés en ligne (Shadowserver)_ **Shadowserver** suit actuellement plus de 5 400 pare-feu PAN-OS VM-series exposés sur Internet, avec une concentration significative en Asie (2 466) et en Amérique du Nord (1 998). **Palo Alto Networks** a déclaré que les appliances Cloud NGFW et Panorama ne sont pas affectées. Des correctifs sont en cours de développement, les premières versions étant attendues le mercredi 13 mai. Dans l'intervalle, **Palo Alto Networks** conseille vivement aux clients de : * Restreindre l'accès au portail d'authentification User-ID de PAN-OS aux zones de confiance uniquement. * Désactiver le portail si la restriction d'accès n'est pas réalisable. Les administrateurs peuvent vérifier la configuration du service vulnérable via la page des paramètres du portail d'authentification User-ID (Device > User Identification > Authentication Portal Settings -> Enable Authentication Portal). ### Action de la CISA et tendances plus larges La U.S. Cybersecurity and Infrastructure Security Agency (**CISA**) a ajouté **CVE-2026-0300** à son catalogue de vulnérabilités connues et exploitées (KEV), obligeant les agences du Federal Civilian Executive Branch (FCEB) à sécuriser les pare-feu vulnérables avant samedi minuit, le 9 mai. Cette exploitation s'inscrit dans une tendance croissante des groupes de menace à cibler les appareils réseau périphériques tels que les pare-feu, les hyperviseurs, les routeurs et les logiciels VPN, qui manquent souvent de journaux et de mesures de sécurité robustes. En février, la **CISA** a publié la directive opérationnelle contraignante 26-02, exigeant des agences gouvernementales américaines qu'elles retirent les appareils réseau périphériques en fin de vie qui ne reçoivent plus de mises à jour de sécurité. 99 % de ce que Mythos a trouvé n'est toujours pas corrigé. L'IA a enchaîné quatre zero-days en un seul exploit qui a contourné les sandboxes du rendu et du système d'exploitation. Une vague de nouveaux exploits arrive. Au Autonomous Validation Summit (12 et 14 mai), découvrez comment la validation autonome et riche en contexte trouve ce qui est exploitable, prouve que les contrôles tiennent bon et boucle la chaîne de remédiation. Réservez votre place