Aujourd’hui, CISA a averti que les attaquants exploitaient une vulnérabilité d’authentification manquante critique dans Palo Alto Networks Expedition, un outil de migration qui peut aider à convertir la configuration du pare-feu de Checkpoint, Cisco et d’autres fournisseurs en système d’exploitation complet.
Cette faille de sécurité, identifiée sous le numéro CVE-2024-5910, a été corrigée en juillet et les auteurs de menaces peuvent l’exploiter à distance pour réinitialiser les informations d’identification de l’administrateur de l’application sur les serveurs Expedition exposés à Internet.
« Palo Alto Expedition contient une vulnérabilité d’authentification manquante qui permet à un attaquant disposant d’un accès réseau de prendre le contrôle d’un compte administrateur Expedition et potentiellement d’accéder à des secrets de configuration, des informations d’identification et d’autres données », explique CISA.
Bien que l’agence de cybersécurité n’ait pas encore fourni plus de détails sur ces attaques, Horizon3.ai le chercheur en vulnérabilités Zach Hanley a publié un exploit de validation de principe en octobre qui peut aider à enchaîner cette faille de réinitialisation de l’administrateur avec une vulnérabilité d’injection de commande CVE-2024-9464 (corrigée le mois dernier) pour obtenir une exécution de commande arbitraire « non authentifiée » sur des serveurs Expedition vulnérables.
CVE-2024-9464 peut être enchaîné avec d’autres failles de sécurité (également corrigées par Palo Alto Networks en octobre) pour prendre le contrôle des comptes d’administrateur du pare-feu et détourner les pare-feu PAN-OS.
Il est conseillé aux administrateurs qui ne peuvent pas installer immédiatement les mises à jour de sécurité pour bloquer les attaques entrantes de restreindre l’accès au réseau Expedition aux utilisateurs, hôtes ou réseaux autorisés.
« Tous les noms d’utilisateur, mots de passe et clés API Expedition doivent être pivotés après la mise à niveau vers la version corrigée d’Expedition. Tous les noms d’utilisateur, mots de passe et clés API du pare-feu traités par Expedition doivent être pivotés après la mise à jour », prévient la société.
Palo Alto Networks n’a pas encore mis à jour son avis de sécurité pour avertir les clients des attaques CVE-2024-5910 en cours.
CISA a également ajouté la vulnérabilité à son Catalogue de vulnérabilités exploitées connues jeudi. Comme l’exige la directive opérationnelle contraignante (BOD 22-01) publiée en novembre 2021, les agences fédérales américaines doivent désormais sécuriser les serveurs d’expédition Palo Alto Networks vulnérables sur leurs réseaux contre les attaques dans les trois semaines, d’ici le 28 novembre.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti l’agence de cybersécurité.