Palo Alto Networks avertit qu’une vulnérabilité critique du jour zéro sur les interfaces de gestion des pare-feu de nouvelle génération (NGFW), actuellement répertoriée sous le nom de « PAN-SA-2024-0015 », est activement exploitée dans les attaques.
La faille a été initialement divulguée le 8 novembre 2024, Palo Alto Networks avertissant les clients de restreindre l’accès à leurs pare-feu de nouvelle génération en raison d’une vulnérabilité « potentielle » d’exécution de code à distance (RCE) les affectant.
Aucun signe d’exploitation n’a été détecté à ce moment-là, mais maintenant, une semaine plus tard, la situation a changé.
« Palo Alto Networks a observé une activité de menace exploitant une vulnérabilité d’exécution de commandes à distance non authentifiée contre un nombre limité d’interfaces de gestion de pare-feu exposées à Internet », avertit une mise à jour sur la page d’avis.
« À l’heure actuelle, nous pensons que les appareils dont l’accès à l’interface de gestion n’est pas sécurisé conformément à nos recommandations de déploiement des meilleures pratiques sont exposés à un risque accru », prévient le fournisseur dans le même bulletin.
La vulnérabilité, notée avec un score CVSS v4. 0 de 9,3 (« critique »), est exploitable à distance et ne nécessite aucune authentification ni interaction de l’utilisateur.
Une fois qu’une interface exposée à Internet est détectée, l’attaquant peut envoyer une requête spécialement conçue pour obtenir un contrôle non autorisé sur le pare-feu, lui permettant potentiellement de modifier les règles, de rediriger ou d’intercepter le trafic réseau et de désactiver les protections de sécurité.
Malheureusement, le fournisseur ne dispose pas de suffisamment d’informations pour formuler une liste utile d’indicateurs de compromis pour le moment, mais a suggéré les étapes d’atténuation suivantes:
- Configurez l’accès à l’interface de gestion du pare-feu de sorte qu’il ne soit accessible qu’à partir d’adresses IP internes approuvées.
- Bloquez tous les accès Internet à l’interface de gestion pour empêcher l’exploitation.
- Placez l’interface de gestion derrière un réseau sécurisé ou un VPN pour vous assurer que l’accès est contrôlé et authentifié.
- Passez en revue et appliquez les consignes de sécurité disponibles ici.
Malgré le dangereux bogue RCE découvert il y a une semaine, Palo Alto Networks n’a pas encore mis de mises à jour de sécurité à la disposition des clients concernés.
« À l’heure actuelle, la sécurisation de l’accès à l’interface de gestion est la meilleure action recommandée », déclare Palo Alto Networks.
« Alors que nous enquêtons sur l’activité de la menace, nous nous préparons à publier des correctifs et des signatures de prévention des menaces le plus tôt possible. »
Plateforme de surveillance des menaces La Fondation Shadowserver a signalé plus tôt aujourd’hui qu’elle voyait environ 8 700 interfaces exposées.
Le chercheur en menaces Yutaka Sugiyama a effectué ses propres analyses sur Shodan et a déclaré à Breachtrace qu’il avait observé 11 180 adresses IP exposées en ligne associées à l’interface de gestion de Palo Alto.
« Comme vous le savez, les résultats de Shodan ne sont pas des informations en temps réel. Cependant, au cours de mon enquête il y a trois jours, j’ai confirmé que 11 180 de ces adresses IP étaient en fait en ligne », a déclaré Sugiyama à Breachtrace.
Selon Shodan, la plupart des appareils sont situés aux États-Unis, suivis de l’Inde, du Mexique, de la Thaïlande et de l’Indonésie.
Pour vous assurer que vous avez correctement appliqué les mesures d’atténuation, visitez la section Actifs du Portail d’assistance client de Palo Alto Networks pour trouver une liste d’appareils dotés d’interfaces de gestion orientées Internet et recherchez les appareils étiquetés « PAN-SA-2025-0015 ».’
Si aucune n’apparaissait, l’analyse n’a détecté aucune interface de gestion exposée à Internet. S’ils le font, les administrateurs doivent suivre les étapes mentionnées pour sécuriser les appareils.