Environ 22 500 périphériques de pare-feu Palo Alto GlobalProtect exposés sont probablement vulnérables à la faille CVE-2024-3400, une vulnérabilité critique d’injection de commandes qui a été activement exploitée dans des attaques depuis au moins le 26 mars 2024.

CVE-2024-3400 est une vulnérabilité critique affectant des versions PAN-OS spécifiques de Palo Alto Networks dans la fonctionnalité GlobalProtect qui permet aux attaquants non authentifiés d’exécuter des commandes avec des privilèges root à l’aide d’une injection de commandes déclenchée par la création arbitraire de fichiers.

La faille a été révélée par Palo Alto Networks le 12 avril, l’avis de sécurité exhortant les administrateurs système à appliquer immédiatement les mesures d’atténuation fournies jusqu’à ce qu’un correctif soit disponible.

Selon la version PAN-OS, des correctifs ont été mis à disposition entre le 14 et le 18 avril 2024, de sorte que l’exposition aux risques post-divulgation a duré de deux à six jours. Il a été révélé plus tard que l’atténuation de la désactivation de la télémétrie par Palo Alto ne protégerait pas les appareils et que la seule solution consistait à appliquer les correctifs de sécurité.

Les chercheurs de Volexity qui ont découvert l’exploitation pour la première fois ont révélé que des acteurs de la menace soutenus par l’État identifiés comme « UTA0218 » exploitaient la faille pour infecter les systèmes avec une porte dérobée personnalisée nommée « Upstyle ».’

Plus tôt cette semaine, les chercheurs ont partagé des détails techniques et un exploit de validation de principe pour CVE-2024-3400, démontrant avec quelle facilité des attaquants non authentifiés pouvaient exécuter des commandes en tant que root sur des points de terminaison non corrigés.

La disponibilité publique de l’exploit a permis à de nombreux acteurs de la menace de mener leurs propres attaques, laissant aux administrateurs système aucune marge pour retarder l’application des correctifs.

Les scanners de Greynoise ont confirmé cette exploitation accrue, montrant un plus grand nombre d’adresses IP uniques tentant d’exploiter la faille CVE-2024-3400.

Malgré l’urgence de la situation, le service de surveillance des menaces ShadowServer Foundation indique qu’il y a encore environ 22 500 instances qui sont « potentiellement vulnérables » au 18 avril 2024.

La plupart des appareils sont situés aux États-Unis (9 620), suivis du Japon (960), de l’Inde (890), de l’Allemagne (790), du Royaume-Uni (780), du Canada (620), de l’Australie (580) et de la France (500).

Plus tôt cette semaine, ShadowServer a signalé avoir vu plus de 156 000 instances de pare-feu PAN-OS exposées sur Internet sans discerner combien d’entre elles pourraient être vulnérables aux attaques.

Vendredi dernier, le chercheur en menaces Yutaka Sugiyama a effectué ses propres analyses et a rapporté avoir observé 82 000 pare-feu, qui, selon lui, étaient vulnérables à CVE-2024-34000.

Si les estimations du chercheur étaient exactes, environ 73% de tous les systèmes PANOS exposés ont été corrigés en une semaine.

Il est conseillé à ceux qui n’ont pris aucune mesure de suivre les mesures suggérées dans l’avis de sécurité de Palo Alto, qui a été mis à jour plusieurs fois depuis la semaine dernière avec de nouvelles informations et instructions sur la recherche d’activités suspectes.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *