Palo Alto Networks a enfin publié des mises à jour de sécurité pour deux vulnérabilités zero-day activement exploitées dans ses pare-feu de nouvelle génération (NGFW).
La première faille, identifiée comme CVE-2024-0012, est un contournement d’authentification trouvé dans l’interface Web de gestion PAN-OS que les attaquants distants peuvent exploiter pour obtenir des privilèges d’administrateur sans nécessiter d’authentification ou d’interaction de l’utilisateur.
La seconde (CVE-2024-9474) est une faille de sécurité d’escalade de privilèges PAN-OS qui permet aux administrateurs PAN-OS malveillants d’effectuer des actions sur le pare-feu avec des privilèges root.
Alors que CVE-2024-9474 a été divulgué aujourd’hui, la société a d’abord averti ses clients le 8 novembre de restreindre l’accès à leurs pare-feu de nouvelle génération en raison d’une faille potentielle RCE étiquetée vendredi dernier comme CVE-2024-0012.
« Palo Alto Networks a observé une activité de menace qui exploite cette vulnérabilité contre un nombre limité d’interfaces Web de gestion exposées au trafic Internet provenant de l’extérieur du réseau », a averti la société aujourd’hui concernant les deux jours zéro.
« Palo Alto Networks a activement surveillé et travaillé avec les clients pour identifier et minimiser davantage le très petit nombre d’appareils PAN-OS avec des interfaces Web de gestion exposées à Internet ou à d’autres réseaux non fiables », a-t-il ajouté dans un rapport séparé fournissant des indicateurs de compromis pour les attaques en cours ciblant les failles.
Alors que la société affirme que ces jours zéro n’affectent qu’un « très petit nombre » de pare-feu, la plate-forme de surveillance des menaces Shadowserver a annoncé vendredi qu’elle suivait plus de 8 700 interfaces de gestion PAN-OS exposées.
Yutaka Sejiyama, chercheur en menaces chez Macnica, a également déclaré à Breachtrace qu’il avait trouvé plus de 11 000 adresses IP exécutant des interfaces de gestion PAN-OS Palo Alto exposées en ligne à l’aide de Shodan. Selon Shodan, les appareils les plus vulnérables se trouvent aux États-Unis, suivis de l’Inde, du Mexique, de la Thaïlande et de l’Indonésie.
L’agence américaine de cybersécurité a ajouté les vulnérabilités CVE-2024-0012 et CVE-2024-9474 à son Catalogue de vulnérabilités exploitées connues et a ordonné aux agences fédérales de corriger leurs systèmes dans les trois semaines d’ici le 9 décembre.
Début novembre, CISA a également mis en garde contre des attaques en cours exploitant une vulnérabilité d’authentification manquante critique (CVE-2024-5910) dans l’outil de migration de configuration du pare-feu Expedition de Palo Alto Networks, une faille corrigée en juillet selon laquelle les acteurs de la menace peuvent l’exploiter à distance pour réinitialiser les informations d’identification de l’administrateur de l’application sur Internet.serveurs Expedition exposés.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », prévient la CISA.