Palo Alto Networks a averti ses clients aujourd’hui de corriger les vulnérabilités de sécurité (avec du code d’exploitation public) qui peuvent être enchaînées pour permettre aux attaquants de détourner les pare-feu PAN-OS.

Les failles ont été trouvées dans la solution Expedition de Palo Alto Networks, qui permet de migrer les configurations d’autres fournisseurs Checkpoint, Cisco ou pris en charge.

Ils peuvent être exploités pour accéder à des données sensibles, telles que les informations d’identification des utilisateurs, qui peuvent aider à prendre le contrôle des comptes d’administrateur du pare-feu.

« De multiples vulnérabilités dans Palo Alto Networks Expedition permettent à un attaquant de lire le contenu de la base de données Expedition et des fichiers arbitraires, ainsi que d’écrire des fichiers arbitraires dans des emplacements de stockage temporaires sur le système Expedition », a déclaré la société dans un avis publié mercredi.

« Combinés, ceux-ci incluent des informations telles que les noms d’utilisateur, les mots de passe en clair, les configurations des appareils et les clés API des pare-feu PAN-OS. »

Ces bogues sont une combinaison d’injection de commandes, de script intersite réfléchi (XSS), de stockage en texte clair d’informations sensibles, d’authentification manquante et de vulnérabilités d’injection SQL:

  • CVE-2024-9463 (vulnérabilité d’injection de commandes non authentifiée)
  • CVE-2024-9464 (vulnérabilité d’injection de commande authentifiée)
  • CVE-2024-9465 (vulnérabilité d’injection SQL non authentifiée)
  • CVE-2024-9466 (informations d’identification en texte clair stockées dans les journaux)
  • CVE-2024-9467 (vulnérabilité XSS reflétée non authentifiée)

Exploit de validation de principe disponible
Horizon3.ai le chercheur en vulnérabilités Zach Hanley, qui a trouvé et signalé quatre des bogues, a également publié une analyse des causes profondes qui détaille comment il a trouvé trois de ces failles lors de ses recherches sur la vulnérabilité CVE-2024-5910 (divulguée et corrigée en juillet), qui permet aux attaquants de réinitialiser les informations d’identification d’administrateur de l’application Expedition.

Hanley a également publié un exploit de validation de principe qui enchaîne la faille de réinitialisation de l’administrateur CVE-2024-5910 avec la vulnérabilité d’injection de commande CVE-2024-9464 pour obtenir une exécution de commande arbitraire « non authentifiée » sur des serveurs d’expédition vulnérables.

Palo Alto Networks affirme que, pour le moment, il n’y a aucune preuve que les failles de sécurité aient été exploitées dans des attaques.

« Les correctifs pour tous les problèmes répertoriés sont disponibles dans Expedition 1.2.96 et toutes les versions ultérieures d’Expedition. Le fichier en clair affecté par CVE-2024-9466 sera supprimé automatiquement lors de la mise à niveau », a ajouté Palo Alto Networks aujourd’hui.

« Tous les noms d’utilisateur, mots de passe et clés API Expedition doivent être pivotés après la mise à niveau vers la version corrigée d’Expedition. Tous les noms d’utilisateur, mots de passe et clés API du pare-feu traités par Expedition doivent être pivotés après la mise à jour. »

Les administrateurs qui ne peuvent pas déployer immédiatement les mises à jour de sécurité d’aujourd’hui doivent restreindre l’accès au réseau Expedition aux utilisateurs, hôtes ou réseaux autorisés.

En avril, la société a commencé à publier des correctifs pour un bogue zero-day de gravité maximale qui avait été activement exploité depuis mars par un acteur de la menace soutenu par l’État identifié comme UTA0218 vers des pare-feu PAN-OS de porte dérobée.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *