Palo Alto Networks a commencé à publier des correctifs pour une vulnérabilité zero-day qui a été activement exploitée depuis le 26 mars pour les pare-feu PAN-OS de porte dérobée.
Cette faille de sécurité de gravité maximale (CVE-2024-3400) affecte les pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 avec la télémétrie des appareils et GlobalProtect (passerelle ou portail) activés.
Les auteurs de menaces non authentifiés peuvent l’exploiter à distance pour obtenir l’exécution de code racine via l’injection de commandes dans des attaques de faible complexité qui ne nécessitent aucune interaction de l’utilisateur.
« Palo Alto Networks est au courant d’un nombre limité d’attaques qui tirent parti de l’exploitation de cette vulnérabilité », a averti la société vendredi lorsqu’elle a révélé le jour zéro.
La société a maintenant corrigé la faille de sécurité dans les versions de correctifs publiées pour PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. D’autres correctifs seront déployés pour les versions ultérieures de PAN-OS dans les prochains jours.
Selon l’avis de Palo Alto Networks, les NGFW Cloud, les appliances Panorama et l’accès Prisma ne sont pas exposés aux attaques via cette vulnérabilité.
Les administrateurs qui attendent toujours un correctif peuvent désactiver la fonctionnalité de télémétrie des appareils sur les appareils vulnérables jusqu’à ce qu’un correctif soit déployé. Les personnes disposant d’un abonnement actif « Prévention des menaces » peuvent également bloquer les attaques en cours en activant l’atténuation basée sur la prévention des menaces « ID de menace 95187 ».
Exploité pour les pare-feu de porte dérobée depuis mars
L’avertissement d’exploitation active de Palo Alto Networks a été confirmé par la société de sécurité Volexity, qui a découvert la faille zero-day et détecté des acteurs de la menace l’utilisant pour pirater des appareils PAN-OS à l’aide de logiciels malveillants Upstyle, violer des réseaux et voler des données.
Volexity suit cette activité malveillante sous UTA0218 et estime que des acteurs de la menace parrainés par l’État sont probablement à l’origine de ces attaques en cours.
« Au moment de la rédaction de cet article, Volexity n’était pas en mesure de relier l’activité à d’autres activités de menace », a déclaré Volexity vendredi.
« Volexity estime qu’il est très probable que UTA0218 soit un acteur de menace soutenu par un État en fonction des ressources nécessaires pour développer et exploiter une vulnérabilité de cette nature, du type de victimes ciblées par cet acteur et des capacités affichées pour installer la porte dérobée Python et accéder davantage aux réseaux des victimes. »
Le chercheur en menaces Yutaka Sejiyama a révélé vendredi qu’il avait trouvé plus de 82 000 appareils PAN-OS exposés en ligne et vulnérables aux attaques CVE-2024-34000, dont 40% aux États-Unis.
CISA a ajouté CVE-2024 – 3400 à son catalogue de vulnérabilités exploitées connues (KEV), ordonnant aux agences fédérales de sécuriser leurs appareils en appliquant la règle d’atténuation des menaces ou en désactivant la télémétrie dans un délai d’une semaine d’ici le 19 avril.