CISA a averti aujourd’hui que deux autres vulnérabilités de sécurité critiques dans l’outil de migration Expedition de Palo Alto Networks sont désormais activement exploitées dans la nature.
Les attaquants peuvent utiliser les deux vulnérabilités Injection de commandes non authentifiées (CVE-2024-9463) et injection SQL (CVE-2024-9465) pour pirater des systèmes non corrigés exécutant l’outil de migration Expedition de l’entreprise, qui permet de migrer les configurations de Checkpoint, Cisco et d’autres fournisseurs pris en charge.
Alors que CVE-2024-9463 permet aux attaquants d’exécuter des commandes arbitraires du système d’exploitation en tant que root, exposant les noms d’utilisateur, les mots de passe en clair, les configurations de périphérique et les clés API de périphérique des pare-feu PAN-OS, la deuxième faille peut être exploitée pour accéder au contenu de la base de données Expedition (y compris les hachages de mot de passe, les noms d’utilisateur, les configurations de périphérique et les clés API de périphérique) et créer ou lire des fichiers arbitraires sur des systèmes vulnérables.
Palo Alto Networks publie des mises à jour de sécurité traitant de ces problèmes dans Expedition 1.2.96 et versions ultérieures. La société conseille aux administrateurs qui ne peuvent pas immédiatement mettre à jour le logiciel de restreindre l’accès au réseau Expedition aux utilisateurs, hôtes ou réseaux autorisés.
« De multiples vulnérabilités dans Palo Alto Networks Expedition permettent à un attaquant de lire le contenu de la base de données Expedition et des fichiers arbitraires, ainsi que d’écrire des fichiers arbitraires dans des emplacements de stockage temporaires sur le système Expedition », a ajouté Palo Alto Networks dans un avis de sécurité publié début octobre qui doit encore être mis à jour pour avertir les clients que les attaquants exploitent ces vulnérabilités dans la nature.
« Combinés, ceux-ci incluent des informations telles que les noms d’utilisateur, les mots de passe en clair, les configurations des appareils et les clés API des pare-feu PAN-OS. »
« Tous les noms d’utilisateur, mots de passe et clés API Expedition doivent être pivotés après la mise à niveau vers la version corrigée d’Expedition. Tous les noms d’utilisateur, mots de passe et clés API du pare-feu traités par Expedition doivent être pivotés après la mise à jour », a-t-il ajouté, précisant que ces failles de sécurité n’affectent pas ses produits firewall, Panorama, Prisma Access et Cloud NGFW.
Les agences fédérales ont reçu l’ordre de patcher dans les trois semaines
Jeudi, CISA a ajouté les deux vulnérabilités à son Catalogue de vulnérabilités exploitées connues, ordonnant aux agences fédérales de patcher les serveurs d’expédition de Palo Alto Networks sur leurs réseaux dans les trois semaines, d’ici le 5 décembre, comme l’exige la directive opérationnelle contraignante (BOD 22-01).
Il y a une semaine, l’agence de cybersécurité a mis en garde contre une autre faille de sécurité Expedition—une vulnérabilité critique d’authentification manquante (CVE-2024-5910) corrigée en juillet qui peut permettre aux acteurs de la menace de réinitialiser les informations d’identification de l’administrateur de l’application—activement exploitée lors d’attaques.
Même si CISA n’a pas encore fourni plus d’informations sur ces attaques en cours, le code d’exploitation de validation de principe publié par Horizon3.ai le mois dernier, le chercheur en vulnérabilités Zach Hanley peut aider à enchaîner CVE-2024-5910 avec une autre vulnérabilité d’injection de commandes (CVE-2024-9464) corrigée en octobre pour obtenir une exécution arbitraire de commandes « non authentifiée » sur des serveurs d’expédition vulnérables et exposés à Internet.
CVE-2024-9464 peut être enchaîné avec d’autres failles d’expédition (également corrigées le mois dernier) pour prendre en charge les comptes d’administrateur du pare-feu et détourner les pare-feu PAN-OS non corrigés.