Une nouvelle faille de sécurité importante a été corrigée dans PAN-OS, le système utilisé par les firewalls de chez Palo Alto Networks. Quels sont les risques ? Comment se protéger ? Voici l’essentiel à savoir.
Le mercredi 14 janvier 2026, une nouvelle vulnérabilité importante, estampillée CVE-2026-0227 (score CVSS de 7.7 sur 10), a été dévoilée par Palo Alto Networks au travers d’un bulletin de sécurité. Elle affecte le système PAN-OS des firewalls Palo Alto (Next-Gen Firewall) et Prisma Access.
En exploitant cette faille de sécurité, un attaquant distant non authentifié peut causer un déni de service sur le pare-feu. Cela signifie que le firewall est susceptible de redémarrer. Le pire, c’est que des tentatives d’exploitation répétées pourront faire entrer le firewall en mode maintenance, ce qui le rend inactif. Pour l’entreprise, ce comportement est synonyme d’interruptions de service.
“Ce problème concerne uniquement les configurations PAN-OS NGFW ou Prisma Access avec une passerelle ou un portail GlobalProtect activé.”, précise Palo Alto.
Comment se protéger de la CVE-2026-0227 ?
Le bulletin de sécurité de Palo Alto Networks liste les versions affectées ainsi que celles où le correctif a été intégré. Voici un tableau qui indique les versions à installer en fonction de votre version actuelle :
VersionVersions mineuresSolutionCloud NGFW–PAN-OS 12.112.1.0 à 12.1.3Version 12.1.4 ou supérieure.PAN-OS 11.211.2.8 à 11.2.10Version 11.2.10-h2 ou supérieure.11.2.5 à 11.2.7Version 11.2.7-h8 ou 11.2.10-h2 ou supérieure.11.2.0 à 11.2.4Version 11.2.4-h15 ou 11.2.10-h2 ou supérieure.PAN-OS 11.111.1.11 à 11.1.12Version 11.1.13 ou supérieure.11.1.7 à 11.1.10Version 11.1.10-h9 ou 11.1.13 ou supérieure.11.1.5 à 11.1.6Version 11.1.6-h23 ou 11.1.13 ou supérieure.11.1.0 à 11.1.4Version 11.1.4-h27 ou 11.1.13 ou supérieure.PAN-OS 10.210.2.17 à 10.2.18Version 10.2.18-h1 ou supérieure.10.2.14 à 10.2.16Version 10.2.16-h6 ou 10.2.18-h1 ou supérieure.10.2.11 à 10.2.13Version 10.2.13-h18 ou 10.2.18-h1 ou supérieure.10.2.8 à 10.2.10Version 10.2.10-h30 ou 10.2.18-h1 ou supérieure.10.2.0 à 10.2.7Version 10.2.7-h32 ou 10.2.18-h1 ou supérieure.Toutes les anciennes versions non prises en charge de PAN-OS Passez à une version prise en charge.Prisma Access 11.211.2Version 11.2.7-h8 ou supérieure.Prisma Access 10.210.2Version 10.2.10-h29 ou supérieure.
“Nous avons mené à bien la mise à niveau vers Prisma Access pour la plupart de nos clients, à l’exception de quelques-uns pour lesquels elle est encore en cours en raison de conflits d’horaires.”, précise le bulletin de Palo Alto. Vous devez donc agir sur vos firewalls sous PAN-OS manuellement.
Patchez : les firewalls Palo Alto, au même titre que ceux d’autres marques comme Fortinet (il y a d’ailleurs une nouvelle CVE dans FortiSIEM), sont régulièrement pris pour cible par les attaquants. D’une façon générale, près de 6 000 firewalls sont actuellement exposés sur Internet d’après The ShadowServer. Attention, il ne s’agit pas nécessairement de firewalls vulnérables.
Ingénieur système et réseau, cofondateur d’IT-Connect et Microsoft MVP “Cloud and Datacenter Management”. Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.