Les pirates ont déjà compromis des milliers de pare-feu Palo Alto Networks lors d’attaques exploitant deux vulnérabilités zero-day récemment corrigées.
Les deux failles de sécurité sont un contournement d’authentification (CVE-2024-0012) dans l’interface Web de gestion PAN-OS que les attaquants distants peuvent exploiter pour obtenir des privilèges d’administrateur et une escalade de privilèges PAN-OS (CVE-2024-9474) qui les aide à exécuter des commandes sur le pare-feu avec des privilèges root.
Alors que CVE-2024-9474 a été divulgué ce lundi, la société a d’abord averti ses clients le 8 novembre de restreindre l’accès à leurs pare-feu de nouvelle génération en raison d’une faille potentielle RCE (qui a été étiquetée vendredi dernier comme CVE-2024-0012).
Palo Alto Networks enquête toujours sur les attaques en cours enchaînant les deux failles pour cibler « un nombre limité d’interfaces Web de gestion des périphériques » et a déjà observé des acteurs de la menace déposer des logiciels malveillants et exécuter des commandes sur des pare-feu compromis, avertissant qu’un exploit en chaîne est probablement déjà disponible.
« Cette activité originale a été rapportée en novembre. 18, 2024 provenait principalement d’adresses IP connues du trafic proxy / tunnel pour les services VPN anonymes », a déclaré la société mercredi.
« À l’heure actuelle, l’Unité 42 évalue avec une confiance modérée à élevée qu’un exploit fonctionnel enchaînant CVE-2024-0012 et CVE-2024-9474 est accessible au public, ce qui permettra une activité de menace plus large. »
Même si la société affirme que les attaques n’affectent qu’un « très petit nombre de pare-feu PAN-OS », la plate-forme de surveillance des menaces Shadowserver a annoncé mercredi qu’elle suivait plus de 2 700 appareils PAN-OS vulnérables.
Shadowserver suit également le nombre de pare-feu compromis de Palo Alto Networks, et il a déclaré qu’environ 2 000 ont été piratés depuis le début de cette campagne en cours.
CISA a ajouté les deux vulnérabilités à son Catalogue de vulnérabilités exploitées connues et exige désormais que les agences fédérales corrigent leurs pare-feu dans les trois semaines d’ici le 9 décembre.
Début novembre, il a également mis en garde contre l’exploitation par des attaquants d’une autre faille d’authentification manquante critique (CVE-2024-5910) dans l’outil de migration de configuration du pare-feu Expedition de Palo Alto Networks, une faille corrigée en juillet qui peut être exploitée pour réinitialiser les informations d’identification de l’administrateur de l’application sur les serveurs Expedition exposés à Internet.
Plus tôt cette année, les clients de l’entreprise ont également dû corriger une autre vulnérabilité de pare-feu PAN-OS de gravité maximale et activement exploitée (CVE-2024-3400) qui a touché plus de 82 000 appareils. CISA a également ajouté CVE-2024-3400 à son catalogue KEV, demandant aux agences fédérales de sécuriser leurs appareils dans les sept jours.
Palo Alto Networks a « fortement » conseillé mercredi à ses clients de sécuriser les interfaces de gestion de leurs pare-feu en limitant l’accès au réseau interne.
« Le risque de ces problèmes est considérablement réduit si vous sécurisez l’accès à l’interface Web de gestion en limitant l’accès aux seules adresses IP internes de confiance conformément à nos recommandations de déploiement des meilleures pratiques », a déclaré la société.