Aujourd’hui, la société de cybersécurité Palo Alto Networks a averti ses clients de restreindre l’accès à leurs pare-feu de nouvelle génération en raison d’une potentielle vulnérabilité d’exécution de code à distance dans l’interface de gestion PAN-OS.

Dans un avis de sécurité publié vendredi, la société a déclaré qu’elle ne disposait pas encore d’informations supplémentaires concernant cette prétendue faille de sécurité et a ajouté qu’elle n’avait pas encore détecté de signes d’exploitation active.

« Palo Alto Networks est au courant d’une réclamation concernant une vulnérabilité d’exécution de code à distance via l’interface de gestion PAN-OS. Pour le moment, nous ne connaissons pas les détails de la vulnérabilité revendiquée. Nous surveillons activement les signes d’exploitation. » il a dit.

« Nous recommandons fortement aux clients de s’assurer que l’accès à votre interface de gestion est configuré correctement conformément à nos directives de déploiement de meilleures pratiques recommandées.

« Les clients Cortex Xpanse et Cortex XSIAM dotés du module ASM peuvent enquêter sur les instances exposées à Internet en examinant les alertes générées par la règle de surface d’attaque de connexion administrateur du pare-feu de Palo Alto Networks. »

La société a conseillé à ses clients de bloquer l’accès depuis Internet à l’interface de gestion PAN-OS de leurs pare-feu et d’autoriser uniquement les connexions à partir d’adresses IP internes fiables.

Selon un séparé document justificatif sur le site Web communautaire de Palo Alto Networks, les administrateurs peuvent également prendre une ou plusieurs des mesures suivantes pour réduire l’exposition de l’interface de gestion :

• Isolez l’interface de gestion sur un VLAN de gestion dédié.
• Utilisez des serveurs de saut pour accéder à l’adresse IP de gestion. Les utilisateurs s’authentifient et se connectent au serveur de saut avant de se connecter au pare-feu/Panorama.
• Limitez les adresses IP entrantes de votre interface de gestion aux appareils de gestion approuvés. Cela réduira la surface d’attaque en empêchant l’accès à partir d’adresses IP inattendues et en empêchant l’accès à l’aide d’informations d’identification volées.
• Autorisez uniquement les communications sécurisées telles que SSH, HTTPS.
• Autorisez PING uniquement pour tester la connectivité à l’interface.

Faille d’authentification manquante critique exploitée lors d’attaques

Jeudi, la CISA a également mis en garde contre des attaques en cours exploitant une vulnérabilité critique d’authentification manquante dans Palo Alto Networks Expedition, identifiée comme CVE-2024-5910. Cette faille de sécurité était patché en juillet et les acteurs malveillants peuvent l’exploiter à distance pour réinitialiser les informations d’identification de l’administrateur d’application sur les serveurs Expedition exposés à Internet.

Bien que CISA n’ait pas fourni plus de détails sur ces attaques, le chercheur en vulnérabilités d’Horizon3.ai, Zach Hanley, a publié un exploit de preuve de concept le mois dernier qui l’enchaîne avec une vulnérabilité d’injection de commande (suivie comme CVE-2024-9464) pour obtenir l’exécution de commandes arbitraires « non authentifiées » sur les serveurs Expedition vulnérables.

CVE-2024-9464 peut également être associé à d’autres failles de sécurité, corrigées par Palo Alto Networks en octobre, pour prendre le contrôle des comptes d’administrateur et détourner les pare-feu PAN-OS.

L’agence américaine de cybersécurité a également ajouté la vulnérabilité CVE-2024-5910 à son Catalogue des vulnérabilités exploitées connuesordonnant aux agences fédérales de sécuriser leurs systèmes contre les attaques dans un délai de trois semaines, avant le 28 novembre.

« Ces types de vulnérabilités sont des vecteurs d’attaque fréquents pour les cyber-acteurs malveillants et présentent des risques importants pour l’entreprise fédérale », a prévenu la CISA.