Aujourd’hui, CISA a averti que les attaquants exploitaient une vulnérabilité critique d’authentification manquante dans Palo Alto Networks Expedition, un outil de migration qui peut aider à convertir la configuration du pare-feu de Checkpoint, Cisco et d’autres fournisseurs vers PAN-OS.
Cette faille de sécurité, suivi comme CVE-2024-5910, était patché en juilletet les acteurs malveillants peuvent l’exploiter à distance pour réinitialiser les informations d’identification de l’administrateur d’application sur les serveurs Expedition exposés à Internet.
« Palo Alto Expedition contient une vulnérabilité d’authentification manquante qui permet à un attaquant disposant d’un accès au réseau de prendre le contrôle d’un compte administrateur d’Expedition et d’accéder potentiellement aux secrets de configuration, aux informations d’identification et à d’autres données », CISA dit.
Alors que l’agence de cybersécurité n’a pas encore fourni plus de détails sur ces attaques, le chercheur en vulnérabilités d’Horizon3.ai, Zach Hanley, a publié un rapport. exploit de preuve de concept en octobre, cela peut aider à enchaîner cette faille de réinitialisation de l’administrateur avec un CVE-2024-9464 vulnérabilité d’injection de commandes (corrigée le mois dernier) pour obtenir l’exécution de commandes arbitraires « non authentifiées » sur les serveurs Expedition vulnérables.
CVE-2024-9464 peut être enchaîné avec d’autres failles de sécurité (également corrigées par Palo Alto Networks en octobre) pour prendre le contrôle des comptes d’administrateur de pare-feu et détourner les pare-feu PAN-OS.
Il est conseillé aux administrateurs qui ne peuvent pas installer immédiatement les mises à jour de sécurité pour bloquer les attaques entrantes de restreindre l’accès au réseau Expedition aux utilisateurs, hôtes ou réseaux autorisés.
« Tous les noms d’utilisateur, mots de passe et clés API d’Expedition doivent être alternés après la mise à niveau vers la version fixe d’Expedition. Tous les noms d’utilisateur, mots de passe et clés API de pare-feu traités par Expedition doivent être alternés après la mise à jour », prévient la société.
Palo Alto Networks n’a pas encore mis à jour son avis de sécurité pour avertir les clients des attaques CVE-2024-5910 en cours.
CISA également ajouté la vulnérabilité à son Catalogue des vulnérabilités exploitées connues jeudi. Comme l’exige la directive opérationnelle contraignante (DBO 22-01) émis en novembre 2021, les agences fédérales américaines doivent désormais sécuriser les serveurs vulnérables de Palo Alto Networks Expedition sur leurs réseaux contre les attaques dans un délai de trois semaines, d’ici le 28 novembre.
« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a prévenu l’agence de cybersécurité.