Le fournisseur de solutions de sécurité réseau Palo Alto Networks a publié des instructions pour atténuer une vulnérabilité activement exploitée dans PAN-OS, le logiciel qui équipe ses pare-feux de nouvelle génération (Next-Generation Firewall, NGFW). L'entreprise travaille toujours à l'élaboration de correctifs logiciels. La vulnérabilité, référencée CVE-2024-3400, qui se situe dans la fonction GlobalProtect de PAN-OS, est décrite comme un problème d'injection de commande. Une exploitation réussie permet à des attaquants non authentifiés d'exécuter un code arbitraire avec les privilèges root sur le système.

Même si la faille affiche un score de 10, le maximum du Common Vulnerability Scoring System (CVSS), elle n'affecte que certaines versions de PAN-OS avec des configurations de fonctionnalités spécifiques. Ce problème s'applique uniquement aux pare-feux embarquant les versions 10.2, 11.0 et 11.1 de l'OS dont les configurations pour la passerelle GlobalProtect et la télémétrie des terminaux sont activées, a indiqué le fournisseur dans son avis. Les clients peuvent vérifier si celle-ci est configurée dans le menu Network > GlobalProtect > Gateways de l'interface web du pare-feu. La fonction de télémétrie peut être vérifiée sous Device > Setup > Telemetry.

Des mesures d'atténuation à appliquer

Des correctifs logiciels pour PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1, numérotés 10.2.9-h1, 11.0.4-h1 et 11.1.2-h3, étaient attendus hier. Les versions antérieures de PAN-OS ne sont pas concernées, pas plus que le service distribué Cloud NGFW ou les appliances Prisma Access et Panorama. En attendant de les appliquer, la société conseille à ses clients d'activer le Threat ID 95187 s'ils disposent d'un abonnement Threat Prevention qui bloquera les attaques exploitant cette vulnérabilité. Pour que cela soit efficace, ils doivent également appliquer un profil de sécurité de protection contre les vulnérabilités à leur interface GlobalProtect, ce qui nécessite des changements de configuration spécifiques. Les instructions pour y parvenir sont fournies dans un nouvel article de la base de connaissances. Les utilisateurs sans abonnement Threat Prevention peuvent temporairement désactiver la fonction de télémétrie des terminaux jusqu'à ce que les correctifs soient disponibles et appliqués.

Selon Palo Alto Networks, le nombre d’attaques exploitant cette faille est « limité ». Le Centre australien de cybersécurité (Australian Cyber Security Centre, ACSC) et l'Agence américaine de cybersécurité et de sécurité des infrastructures (Cybersecurity and Infrastructure Security Agency, CISA) ont publié des avis confirmant une exploitation active. La CISA a aussi ajouté cette faille à son catalogue des vulnérabilités exploitées connues. Au cours des deux dernières années, le nombre d'attaques menées par des groupes de cyberespions parrainés par des États et visant les dispositifs de sécurité des réseaux d'entreprise - pare-feu, équilibreurs VPN, passerelles de messagerie, etc. - a augmenté de façon spectaculaire, souvent grâce à des failles zero day comme c’est le cas actuellement. Ces dispositifs sont des cibles attrayantes parce qu'ils se trouvent en bordure du réseau et qu'une fois compromis ils peuvent servir de points d'accès aux réseaux internes.