Aujourd’hui, Palo Alto Networks avertit qu’une vulnérabilité d’injection de commande critique non corrigée dans son pare-feu PAN-OS est activement exploitée dans des attaques.

« Palo Alto Networks est au courant d’un nombre limité d’attaques qui tirent parti de l’exploitation de cette vulnérabilité », prévient le bulletin de sécurité de Palo Alto.

La faille, qui a été découverte par Volexity et est suivie sous la référence CVE-2024-3400, est une vulnérabilité d’injection de commandes qui a reçu le score de gravité maximal de 10,0 car elle ne nécessite aucun privilège spécial ni interaction utilisateur pour être exploitée.

Le fournisseur a précisé que le problème affecte des versions spécifiques du logiciel PAN-OS lorsque la passerelle GlobalProtect gateway et les fonctionnalités de télémétrie de l’appareil sont activées.

« Une vulnérabilité d’injection de commandes dans la fonctionnalité GlobalProtect du logiciel PAN-OS de Palo Alto Networks pour des versions PAN-OS spécifiques et des configurations de fonctionnalités distinctes peut permettre à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges root sur le pare-feu », explique l’avis de Palo Alto Networks.

Les versions vulnérables sont PAN-OS 10.2, 11.0 et 11.1, et des correctifs pour ces versions sont attendus d’ici le 14 avril 2024. Le fournisseur implémentera des correctifs d’ici dimanche avec la sortie des versions suivantes:

  • PAN-OS 10.2.9-h1
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.1.2-h3

Les produits tels que Cloud NGFW, Panorama appliances et Prisma Access ne sont pas affectés. Un aperçu de l’impact peut être vu dans le tableau ci-dessous:

Le chercheur en menaces Yutaka Sejiyama a rapporté sur X que ses analyses montrent qu’il y a actuellement 82 000 appareils exposés en ligne qui pourraient être vulnérables à CVE-2024-34000, dont 40% résident aux États-Unis.

Breachtrace a contacté Volexity et Palo Alto Networks pour leur poser des questions sur l’exploitation du jour zéro.

Atténuation de CVE-2024-3400
Étant donné que CVE-2024-3400 est déjà en cours d’exploitation active, les utilisateurs concernés doivent appliquer immédiatement des mesures d’atténuation pour gérer le risque jusqu’à ce que des mises à jour de sécurité soient disponibles.

L’avis propose de mettre en œuvre les mesures suivantes:

  • Les utilisateurs disposant d’un abonnement actif à la « Prévention des menaces » peuvent bloquer les attaques en activant « l’ID de menace 95187 » dans leur système.
  • Assurez-vous que la protection contre les vulnérabilités est configurée sur les « interfaces GlobalProtect » pour empêcher l’exploitation. Plus d’informations à ce sujet sont disponibles ici.
  • Désactivez la télémétrie de l’appareil jusqu’à ce que des correctifs de correction soient appliqués. Des instructions sur la façon de procéder peuvent être trouvées sur cette page Web.

Les appareils Palo Alto Networks deviennent souvent la cible d’acteurs malveillants sophistiqués en raison de leur déploiement dans les réseaux d’entreprise.

En août 2022, des pirates informatiques ont exploité un autre jour zéro à PARIS pour mener des attaques amplifiées par déni de service TCP (DoS).

Cette fois, le problème est beaucoup plus grave et son exploitation serait beaucoup plus dommageable pour les cibles, les administrateurs doivent donc prendre des mesures rapides pour sécuriser leurs systèmes.

Mise à jour 4/12-CISA a ajouté CVE-2024-3400 à son catalogue de vulnérabilités exploitées connues (KEV), fixant la date limite de correction pour les agences fédérales au 19 avril 2024.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *