Le code d’exploitation est désormais disponible pour une gravité maximale et une vulnérabilité activement exploitée dans le logiciel de pare-feu PAN-OS de Palo Alto Networks.

Répertoriée sous le numéro CVE-2024-3400, cette faille de sécurité peut permettre à des acteurs de la menace non authentifiés d’exécuter du code arbitraire en tant que root via une injection de commande dans des attaques de faible complexité sur des pare-feu vulnérables PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 si la télémétrie de l’appareil et la fonctionnalité GlobalProtect (passerelle ou portail) sont activées.

Alors que Palo Alto Networks a commencé à publier des correctifs lundi pour sécuriser les pare-feu non corrigés exposés aux attaques, la vulnérabilité a été exploitée dans la nature comme un jour zéro depuis le 26 mars pour les pare-feu de porte dérobée utilisant des logiciels malveillants Upstyle, pivot vers les réseaux internes et voler des données par un groupe de menaces censé être parrainé par l’État et suivi comme UTA0218..

La plate-forme de surveillance des menaces de sécurité Shadowserver indique qu’elle voit quotidiennement plus de 156 000 instances de pare-feu PAN-OS sur Internet; cependant, il ne fournit pas d’informations sur le nombre de personnes vulnérables.

Vendredi, le chercheur en menaces Yutaka Sejiyama a également découvert que plus de 82 000 pare-feu étaient vulnérables aux attaques CVE-2024-34000, dont 40% aux États-Unis.

Pare-feu PAN-OS exposés à Internet

​Code d’exploitation désormais accessible au public
Un jour après que Palo Alto Networks a commencé à publier les correctifs CVE-2024-3400, watchTowr Labs a également publié une analyse détaillée de la vulnérabilité et un exploit de validation de principe qui peut être utilisé pour exécuter des commandes shell sur des pare-feu non corrigés.

« Comme nous pouvons le voir, nous injectons notre charge utile d’injection de commandes dans la valeur du cookie SESSID – qui, lorsqu’une appliance Palo Alto GlobalProtect a activé la télémétrie-est ensuite concaténée en une chaîne et finalement exécutée en tant que commande shell », a déclaré watchTowr Labs.

Justin Elze, directeur de la technologie de TrustedSec, a également partagé un exploit observé lors d’attaques réelles, permettant aux attaquants de télécharger le fichier de configuration du pare-feu.

En réponse aux attaques, CISA a ajouté CVE-2024-3400 à son catalogue de vulnérabilités exploitées connues (KEV) vendredi, ordonnant aux agences fédérales américaines de sécuriser leurs appareils dans les sept jours suivant le 19 avril.

Si vous attendez toujours un correctif, désactivez la fonction de télémétrie des appareils sur les appareils vulnérables jusqu’à ce qu’un correctif soit disponible.

De plus, si vous disposez d’un abonnement actif « Prévention des menaces » , vous pouvez bloquer les attaques en cours en activant l’atténuation basée sur la prévention des menaces « ID de menace 95187 ».

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *