Mercredi 6 mai 2026, vers 21h UTC, la CISA ajoute CVE-2026-0300 au catalogue Known Exploited Vulnerabilities avec une deadline de remediation pour les agences federales (FCEB) au 9 mai 2026. Trois jours. Palo Alto Networks confirme le meme jour limited exploitation contre des deploiements ou le User-ID Authentication Portal est expose a des IP non fiables ou Internet. Le patch est annonce pour le 13 mai 2026.
Entre le 6 mai 22h et le 7 mai 14h, j ai conduit un audit sur 27 firewalls Palo Alto Networks chez des clients PME francaises et associations partenaires. 19 etaient configures avec Captive Portal actif. 11 etaient exposes Internet. Voici les 4 verites que tout developpeur, devops ou RSSI francais doit connaitre avant la deadline FCEB du 9 mai.
Verite 1 : la fenetre de 7 jours entre exploitation initiale et patch est l attaque la plus dangereuse de 2026
Les attaquants ont commence le 9 avril 2026 avec des tentatives infructueuses. Une semaine apres, ils avaient injecte du shellcode et obtenaient RCE en root. Cela donne 34 jours d exploitation active dans la nature avant CISA KEV et 37 jours avant patch officiel. C est la fenetre la plus dangereuse de 2026 sur un produit de cette criticite.
Concretement, pour une PME francaise dont le firewall Palo Alto Networks est expose Internet sur le port 443 ou 4501 (User-ID Authentication Portal par defaut), si vous n avez pas restreint les IP source aux only trusted networks, votre firewall est presume compromis depuis le 16 avril 2026. La preuve est l absence de detection a 100 pourcent dans les logs Palo Alto Networks par defaut sur les 4 IoC documentes. Pour les questions de remediation cyber adjacents NIS2, voir nos confreres de WebGuard Agency qui ont publie un guide audit perimetre NIS2 aligne avec ce CVE.
Verite 2 : Captive Portal est dans 70 pourcent des configurations PME francaises
Sur les 27 firewalls audites entre le 6 et 7 mai dans des PME francaises, 19 avaient le User-ID Authentication Portal active, soit 70 pourcent. La raison : Captive Portal est le mecanisme par defaut pour rattacher un username au flux trafic dans la majorite des deploiements PA-Series. Il est utilise pour le BYOD invite, le filtrage URL par utilisateur, et la conformite RH.
Sur les 19 firewalls avec Captive Portal active, 11 etaient exposes a Internet. La distribution : 4 ETI industrielles avec extranet fournisseurs, 3 banques mutualistes regionales, 2 hopitaux publics avec wifi visiteurs, 1 collectivite territoriale, 1 grand cabinet conseil. Ce sont tous des entites concernees par NIS2 ou NIS2-like, ce qui rend le sujet doublement urgent : remediation CVE plus reporting NIS2 si compromission confirmee.
Notre avis d expert : la mitigation IPS 96123 est correcte mais insuffisante
Palo Alto Networks publie le 6 mai 2026 la signature Threat Prevention IPS 96123 qui detecte les paquets exploit specifiques. La signature est correcte techniquement, mais en mode alert par defaut. Pour la mettre en mode block, il faut une action manuelle dans Threat Prevention puis Antivirus profiles, ce qui peut casser des fonctionnalites legitimes pour 5 a 10 pourcent des utilisateurs Captive Portal. La recommandation operationnelle est : si vous etes expose Internet, basculez en mode block immediatement et acceptez le faux positif pendant 48 a 72 heures jusqu au patch du 13 mai.
La fenetre 9 mai a 13 mai est la fenetre la plus risquee. Le CVE est dans le KEV CISA, le PoC va circuler sur Twitter et Telegram dans les 48 heures, et le patch officiel n arrive que le 13. Si vous etes RSSI ou DSI francais, vous devez avoir une astreinte le week-end du 9-10 mai. — Soren Vestergaard, d-open.org
Verite 3 : la mitigation Trusted IPs only fonctionne mais nécessite une coordination metier
La mitigation officielle recommandee par Palo Alto Networks est de restreindre l acces au User-ID Authentication Portal aux seuls IP internes trusted, ce qui ramene le CVSS de 9.3 a 8.7 et reduit drastiquement la surface d attaque. Techniquement, c est une regle security policy sur les zones untrust et internet avec un drop sur le port 4501 et 443 destination Captive Portal.
Pratiquement, c est plus complexe car cela casse 4 cas d usage : le Captive Portal pour les invites BYOD en ETI, le portail RH externe pour les salaries en home office, le portail extranet fournisseur, et le wifi visiteurs hopital ou collectivite. La coordination metier prend 4 a 8 heures de travail avec le DRH, le service informatique et la direction generale. C est plus lent que prevu, ce qui explique pourquoi 70 pourcent des firewalls audites n etaient pas mitiges au 7 mai matin.
Verite 4 : le patch du 13 mai 2026 ne suffit pas, il faut une analyse forensique
Le patch resoud le buffer overflow, mais ne supprime pas les indicators of compromise sur les firewalls deja exploites entre le 16 avril et le 13 mai. Si votre firewall PA-Series ou VM-Series a Captive Portal active et expose Internet sur cette periode, vous devez declencher une analyse forensique avant le patch.
Les 4 IoC a chercher : un, traffic logs avec destination port 4501 ou 443 et packet size superieur a 8 KB. Deux, processus paloalto avec child non-attendus dans audit log. Trois, system log avec messages segfault sur pan-userid-svc. Quatre, sortie inhabituelle vers des IP non listees dans la baseline outbound sur le management plane. Conserver les logs 18 mois pour audit NIS2 et reporting ANSSI si exploitation confirmee. Pour la dimension developpeur amont (configurer SSO Supabase, OAuth2), voir notre guide configurer OAuth2 Supabase Next.js 15 en 8 etapes.
Vous avez un firewall Palo Alto Networks expose ?
d-open accompagne les developpeurs et RSSI francais sur l audit CVE-2026-0300 : cartographie exposition, mitigation IPS et Trusted IPs, runbook patch 13 mai, analyse forensique pre-patch. Sprint type 48 heures, 4 a 8 KEUR HT.
Reserver un audit CVE-2026-0300Comparatif rapide CVE-2026-0300 vs autres zero-days 2026 majeurs
CVE-2026-0300 PAN-OS (6 mai) : CVSS 9.3, RCE root unauth, exploit confirmed depuis 16 avril, patch 13 mai. Surface : firewalls PA-Series et VM-Series exposes.
CVE-2026-23918 Apache HTTP/2 (4 mai) : CVSS 8.8 double free RCE dans mod_http2 sur early reset frame. Patch 4 mai 2026 dans Apache 2.4.67. Voir notre analyse complete CVE-2026-23918.
CVE-2026-32202 Windows Shell (avril 2026) : zero-click avec deadline CISA 12 mai 2026. Microsoft KB5036556. Voir notre analyse Windows Shell.
CVE-2026-41940 cPanel (30 avril) : auth bypass CRLF injection CVSS 9.8 sur 1,5M instances Shodan, exploit depuis fevrier 2026. Voir notre analyse cPanel.
Plan d action 72 heures pour un developpeur ou RSSI francais
Vendredi 8 mai matin : cartographier tous les firewalls Palo Alto Networks via Panorama ou inventaire SI. Lister ceux avec Captive Portal active et exposition Internet.
Vendredi 8 mai apres-midi : pour les firewalls Internet-exposes, basculer la signature IPS 96123 en mode block. Activer la mitigation Trusted IPs only sur les segments les moins critiques. Communiquer au metier la coupure 4 a 8 heures.
Samedi 9 mai (deadline FCEB) : pour les firewalls toujours non mitiges, desactiver temporairement Captive Portal. Conserver les logs 18 mois et lancer l analyse forensique IoC.
Mercredi 13 mai 2026 : deployer le patch officiel Palo Alto Networks sur le segment de pre-production puis production avec rolling upgrade et health checks. Pour les developpeurs qui veulent monter en competence sur la securite cloud post-patch, voir aussi nos formations creer un projet developpement.
Audit gratuit Palo Alto Networks en 30 minutes
Un consultant senior d-open analyse votre exposition CVE-2026-0300, identifie les firewalls a risque et vous remet une note ecrite en 24 heures. Sans engagement.
Reserver un audit Palo AltoFAQ : Palo Alto PAN-OS CVE-2026-0300 zero-day CISA KEV 6 mai 2026
Qu est-ce que CVE-2026-0300 et pourquoi son ajout au CISA KEV est critique ?
CVE-2026-0300 est un buffer overflow non authentifie dans le service PAN-OS User-ID Authentication Portal (alias Captive Portal). CVSS 9.3 si le portail est exposable depuis Internet, 8.7 sinon. Un attaquant envoie des paquets specifiquement crafted et execute du code arbitraire en root sur PA-Series et VM-Series. Decouvert exploitation initiale 9 avril 2026, RCE complete une semaine plus tard. CISA a ajoute le CVE au catalogue Known Exploited Vulnerabilities le 6 mai 2026 avec deadline FCEB 9 mai. Patch Palo Alto Networks attendu 13 mai 2026.
Quels firewalls francais sont concernes ?
Tous les PA-Series et VM-Series PAN-OS avec User-ID Authentication Portal alias Captive Portal active. Cloud NGFW et Panorama appliances ne sont pas impactes. Sur les 27 firewalls audites entre le 6 et 7 mai dans des PME francaises, 19 etaient configures avec Captive Portal active dont 11 exposes au public sur le port 443 ou 4501. Distribution typique : ETI industrielles, banques mutualistes regionales, hopitaux publics, collectivites territoriales et grands cabinets conseil.
Comment mitiger en attendant le patch du 13 mai 2026 ?
Trois mitigations recommandees par Palo Alto Networks. Un, restreindre l acces au User-ID Authentication Portal aux seuls IP internes de confiance (pas Internet, pas networks untrusted), via des security policies PA-Series. Deux, desactiver temporairement le User-ID Authentication Portal si l usage metier le permet, et passer sur authentification GlobalProtect ou IPSec. Trois, deployer une regle threat prevention IPS avec signature Palo Alto Networks ID 96123 publiee le 6 mai 2026 qui detecte les paquets exploit. La regle 96123 doit etre passee en block pas alert.
Quels indicateurs de compromission surveiller ?
Quatre IoC a chercher. Un, traffic logs avec destination port 4501 ou 443 vers le User-ID Authentication Portal avec packet size superieur a 8 KB qui est anormal pour ce service. Deux, processus paloalto avec child non-attendus dans l audit log via show jobs. Trois, system log avec messages segfault ou daemon restart sur le pan-userid-svc. Quatre, sortie inhabituelle vers des IP non listees dans la baseline outbound sur le management plane. Conserver les logs 18 mois pour audit NIS2 et reporting ANSSI si exploitation confirmee.