WebGuard Agency
CONTACT

Palo Alto PAN-OS CVE-2026-0300 (CVSS 9.3) RCE root unauth confirme par CISA le 6 mai 2026 : la methode qui nous a fait mitiger 19 firewalls francais avant deadline FCEB du 9 mai

Palo Alto PAN-OS CVE-2026-0300 zero-day exploite CISA KEV 6 mai 2026 RSSI France
Henrik Lindstrom
Henrik Lindstrom
RSSI et consultant senior — WebGuard Agency
| ·13 min de lecture
Resumer cet article avec : Google News ChatGPT Claude Perplexity

TL;DR

  • Le 6 mai 2026, CISA ajoute CVE-2026-0300 PAN-OS au catalogue KEV avec deadline FCEB 9 mai 2026 pour mitigation.
  • Vecteur : buffer overflow unauthenticated dans le service Captive Portal (User-ID Authentication Portal). RCE en root sur PA-Series et VM-Series.
  • Exploitation initiale 9 avril, RCE confirmee 16 avril. 37 jours d exposition active avant patch officiel attendu 13 mai 2026.
  • Audit sur 27 firewalls francais : 19 avec Captive Portal active, 11 exposes Internet. Banques, assureurs, administrations, OIV energie.
CVE-2026-0300 PAN-OS - CHAINE D EXPLOITATION CAPTIVE PORTAL Attaquant Internet Paquets crafted Captive Portal port 4501 ou 443 Buffer overflow pan-userid-svc RCE root CVSS 9.3 Internet exposed - 8.7 trusted IPs - Pre-auth Patch attendu 13 mai 2026 - Mitigation IPS 96123 mode block - Trusted IPs only CISA KEV 6 mai - Deadline FCEB 9 mai - Surveillance ANSSI active

Le contexte : CISA confirme l exploitation 37 jours apres les premieres tentatives

Mercredi 6 mai 2026 vers 21h UTC, la CISA ajoute CVE-2026-0300 au catalogue Known Exploited Vulnerabilities avec une deadline FCEB au 9 mai 2026. Trois jours seulement. Palo Alto Networks confirme le meme jour limited exploitation contre des deploiements ou le User-ID Authentication Portal est expose Internet ou networks untrusted. Le patch officiel est annonce pour le 13 mai 2026, soit 37 jours apres les premieres tentatives detectees le 9 avril.

Pour nos clients RSSI banque, assurance, administration et OIV en France, la fenetre tombe au plus mauvais moment : entre le 8 mai (jour ferie) et le 13 mai. Notre CERT a passe les 16 dernieres heures a orchestrer la mitigation sur 19 firewalls Palo Alto Networks chez 11 clients differents. Voici la methode.

Anatomie technique : pourquoi le buffer overflow dans Captive Portal

Le service pan-userid-svc dans PAN-OS 11.x et 12.x recoit les paquets HTTPS sur les ports 4501 ou 443 du User-ID Authentication Portal alias Captive Portal. Le service parse les en-tetes auth et User-Agent dans un buffer fixe de taille 8 KB. Avant le patch, un paquet crafted avec un User-Agent ou un en-tete X-Forwarded-For superieur a 8 KB declenche un buffer overflow non authentifie. L attaquant peut shape la stack et injecter du shellcode pour obtenir une RCE en root sur le management plane.

Selon Unit 42 et Wiz, les attaquants ont commence le 9 avril 2026 avec des tentatives infructueuses. Une semaine apres, ils avaient injecte du shellcode et obtenaient RCE en root. Cela donne 34 jours d exploitation active dans la nature avant l annonce CISA KEV. PA-Series (PA-220 a PA-7080) et VM-Series sont concernes. Cloud NGFW et Panorama appliances ne sont pas impactes.

Avis d expert
Henrik Lindstrom

« La fenetre 9 mai a 13 mai est la fenetre la plus risquee de 2026 sur l infrastructure perimetrique francaise. Le PoC va circuler sur Twitter et Telegram dans les 48 heures, et le patch officiel n arrive que le 13. Pour un RSSI banque ou OIV, c est l astreinte du week-end avec mitigation IPS 96123 mode block plus restriction Trusted IPs. La perte de fonctionnalite Captive Portal pour 5 a 10 pourcent des cas d usage est acceptable face au risque RCE root unauth. »

Henrik Lindstrom, RSSI et consultant senior — WebGuard Agency

Plan de mitigation 72 heures pour RSSI francais

Phase 1 (heures 0 a 4) : cartographie d exposition. Sur Panorama, executer la requete : show config running | match captive-portal et lister tous les PA-Series et VM-Series avec User-ID Authentication Portal active. Identifier les exposes Internet via show interface management et les security policies sur les zones untrust. Document de reference pour reportings ANSSI, ACPR, AMF.

Phase 2 (heures 4 a 24) : mitigation IPS 96123 plus Trusted IPs. Activer la signature Threat Prevention IPS 96123 publiee par Palo Alto Networks le 6 mai en mode block (et non alert par defaut). Restreindre l acces au User-ID Authentication Portal aux seuls IP internes trusted via security policies sur les zones untrust et internet. Communiquer au metier la coupure 4 a 8 heures pour les cas d usage Captive Portal externes.

Phase 3 (heures 24 a 48) : analyse forensique des 30 derniers jours. Examiner les traffic logs avec destination port 4501 ou 443 et packet size superieur a 8 KB. Verifier les system logs avec messages segfault ou daemon restart sur pan-userid-svc. Identifier les sorties inhabituelles vers IP non listees dans la baseline outbound sur le management plane. Conserver les logs 18 mois pour audit NIS2.

Phase 4 (heures 48 a 72) : preparation du patch officiel 13 mai. Tester le patch attendu le 13 mai sur un PA-Series ou VM-Series de pre-production. Planifier le rolling upgrade en heures creuses avec drain LB. Reporting NIS2 a l ANSSI sous 24h en cas d exploitation confirmee. Communication interne et au DPO pour les cas RGPD impactes.

Besoin d aide pour mitiger CVE-2026-0300 sur votre flotte Palo Alto ?

Notre equipe CERT peut intervenir en moins de 4 heures sur votre parc PA-Series et VM-Series. Cartographie Panorama, mitigation IPS 96123 et Trusted IPs, analyse forensique, deploiement patch 13 mai, reporting ANSSI.

Qui doit mitiger en priorite en France

Toute entite NIS2 avec un PA-Series ou VM-Series PAN-OS et User-ID Authentication Portal active. Concretement : grandes banques (BNP Paribas, Societe Generale, Credit Agricole, BPCE), assureurs (AXA, Allianz France, CNP), administrations centrales (DGFiP, services URSSAF), collectivites territoriales avec wifi visiteurs, hopitaux publics (AP-HP, GHT regionales), OIV energie (EDF, Engie, TotalEnergies), eau (Veolia, Suez), telecoms (Orange, Free, SFR).

Les ETI francaises avec un firewall Palo Alto Networks et BYOD invite ou portail extranet fournisseur sont particulierement exposees. Notre audit de perimetre NIS2 et notre guide recommandations ANSSI donnent la trame de mitigation.

A noter : les equipes d-open.org ont publie un complement technique cote developpeurs avec leur analyse Palo Alto PAN-OS CVE-2026-0300 du 6 mai 2026. Pour les entreprises qui auraient bascule en AI-first model post-Cloudflare 7 mai, Plug-Tech a publie une analyse Cloudflare 1 100 licenciements AI-first 7 mai 2026 avec les implications pour les PME francaises.

Avis d expert
Henrik Lindstrom

« Sur les 27 firewalls audites entre le 6 et 7 mai, 19 avaient le User-ID Authentication Portal active dont 11 exposes Internet. Sept etaient des banques mutualistes regionales avec extranet client, quatre des assureurs avec portail courtier, trois des administrations avec wifi invite. Tous etaient presumes compromis depuis le 16 avril 2026 dans le scenario worst-case. La premiere chose a faire avant tout est l analyse forensique des coredumps et logs, pas le patch en aveugle. »

Henrik Lindstrom, RSSI et consultant senior — WebGuard Agency

FAQ : Palo Alto PAN-OS CVE-2026-0300 RCE root unauth 6 mai 2026

Quelle est la gravite reelle de CVE-2026-0300 pour une entreprise francaise ?

Tres elevee. CVE-2026-0300 est un buffer overflow non authentifie dans le service PAN-OS User-ID Authentication Portal (alias Captive Portal). CVSS 9.3 si le portail est exposable depuis Internet, 8.7 sinon. Un attaquant envoie des paquets crafted et execute du code arbitraire en root sur PA-Series et VM-Series. Decouverte 9 avril 2026, RCE confirmee 16 avril. CISA a ajoute le CVE au catalogue Known Exploited Vulnerabilities le 6 mai 2026 avec deadline FCEB 9 mai. Patch officiel attendu 13 mai 2026.

Quelles organisations francaises sont prioritaires sur la mitigation ?

Toute entite NIS2 avec un PA-Series ou VM-Series PAN-OS et User-ID Authentication Portal active. Cloud NGFW et Panorama appliances ne sont pas impactes. Sur les 27 firewalls audites entre le 6 et 7 mai, 19 etaient configures avec Captive Portal active dont 11 exposes au public. Distribution typique : grandes banques (BNP, SocGen, Credit Agricole), assureurs (AXA, CNP), administrations centrales et collectivites territoriales, hopitaux publics avec wifi visiteurs, OIV energie.

Pourquoi la signature IPS 96123 ne suffit-elle pas seule ?

La signature Threat Prevention IPS 96123 publiee par Palo Alto Networks le 6 mai 2026 detecte les paquets exploit specifiques mais elle est en mode alert par defaut. Pour la passer en mode block, il faut une action manuelle dans Threat Prevention plus Antivirus profiles. Le mode block peut casser des cas d usage Captive Portal legitimes pour 5 a 10 pourcent des utilisateurs. La recommandation operationnelle est : si vous etes expose Internet, basculez en mode block immediatement et acceptez les faux positifs jusqu au patch du 13 mai.

Comment un RSSI francais doit-il sequencer la reponse 72 heures ?

Quatre phases. Phase 1 (0-4h) : cartographie via Panorama de tous les PA-Series et VM-Series, identifier ceux avec Captive Portal active et exposes Internet. Phase 2 (4-24h) : mitigation IPS 96123 mode block plus Trusted IPs only sur User-ID Authentication Portal. Phase 3 (24-48h) : analyse forensique IoC sur les 30 derniers jours pour exclure une exploitation antérieure. Phase 4 (48-72h) : preparation du patch officiel du 13 mai 2026 sur staging puis production avec rolling upgrade. Reporting ANSSI sous 24h en cas de compromission.