Aujourd’hui, la société de cybersécurité Palo Alto Networks a averti ses clients de restreindre l’accès à leurs pare-feu de nouvelle génération en raison d’une vulnérabilité potentielle d’exécution de code à distance dans l’interface de gestion PAN-OS.
Dans un avis de sécurité publié vendredi, la société a déclaré qu’elle ne disposait pas encore d’informations supplémentaires concernant cette faille de sécurité présumée et a ajouté qu’elle n’avait pas encore détecté de signes d’exploitation active.
« Palo Alto Networks est au courant d’une allégation de vulnérabilité d’exécution de code à distance via l’interface de gestion PAN-OS. À l’heure actuelle, nous ne connaissons pas les détails de la vulnérabilité alléguée. Nous surveillons activement les signes de toute exploitation », a-t-il déclaré.
« Nous recommandons fortement aux clients de s’assurer que l’accès à votre interface de gestion est correctement configuré conformément à nos directives de déploiement recommandées.
« Les clients Cortex Xpanse et Cortex XSIAM avec le module ASM peuvent enquêter sur les instances exposées à Internet en examinant les alertes générées par la règle de surface d’attaque de connexion administrateur du pare-feu de Palo Alto Networks. »
La société a conseillé aux clients de bloquer l’accès d’Internet à l’interface de gestion PAN-OS de leurs pare-feu et d’autoriser uniquement les connexions à partir d’adresses IP internes de confiance.
Selon un document d’assistance distinct sur le site Web de la communauté de Palo Alto Networks, les administrateurs peuvent également prendre une ou plusieurs des mesures suivantes pour réduire l’exposition de l’interface de gestion:
- Isolez l’interface de gestion sur un VLAN de gestion dédié.
- Utilisez des serveurs de saut pour accéder à l’IP mgt. Les utilisateurs s’authentifient et se connectent au serveur de jump avant de se connecter au pare-feu / Panorama.
- Limitez les adresses IP entrantes de votre interface mgt aux périphériques de gestion approuvés. Cela réduira la surface d’attaque en empêchant l’accès à partir d’adresses IP inattendues et en empêchant l’accès à l’aide d’informations d’identification volées.
- Autorisez uniquement les communications sécurisées telles que SSH, HTTPS.
- Autorisez uniquement le PING pour tester la connectivité à l’interface.
Faille d’authentification manquante critique exploitée dans les attaques
Jeudi, CISA a également mis en garde contre les attaques en cours exploitant une vulnérabilité d’authentification manquante critique dans l’expédition Palo Alto Networks suivie sous le nom de CVE-2024-5910. Cette faille de sécurité a été corrigée en juillet et les auteurs de menaces peuvent l’exploiter à distance pour réinitialiser les informations d’identification de l’administrateur de l’application sur les serveurs Expedition exposés à Internet.
Bien que CISA n’ait pas fourni plus de détails sur ces attaques, Horizon3.ai le mois dernier, le chercheur en vulnérabilités Zach Hanley a publié un exploit de validation de principe qui l’enchaîne avec une vulnérabilité d’injection de commandes (CVE-2024-9464) pour obtenir une exécution arbitraire de commandes « non authentifiée » sur des serveurs d’expédition vulnérables.
CVE-2024-9464 peut également être enchaîné avec d’autres failles de sécurité-corrigées par Palo Alto Networks en octobre—pour prendre le contrôle des comptes d’administration et détourner les pare-feu PAN-OS.
L’agence américaine de cybersécurité a également ajouté la vulnérabilité CVE-2024-5910 à son Catalogue de vulnérabilités exploitées connues, ordonnant aux agences fédérales de sécuriser leurs systèmes contre les attaques dans les trois semaines, d’ici le 28 novembre.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyberacteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a averti la CISA.