Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- PAN-OS 10.2.x antérieures à 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3 et 10.2.9-h1
- PAN-OS 11.0.x versions antérieures à 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10 et 11.0.4-h1
- PAN-OS 11.1.x versions antérieures à 11.1.0-h3, 11.1.1-h1 et 11.1.2-h3
[Mise à jour du 19 avril 2024] Publication des dernières versions correctives
- PAN-OS 11.1.x versions antérieures à 11.1.0-h3, 11.1.1-h1 et 11.1.2-h3
- PAN-OS 11.0.x versions antérieures à 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10 et 11.0.4-h1
- PAN-OS 10.2.x antérieures à 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3 et 10.2.9-h1
[Mise à jour du 15 avril 2024] Publication des premières versions correctives
Les mises à jour suivantes contiennent un correctif de sécurité : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3.
L'éditeur précise que les produits Cloud NGFW, Panorama et Prisma Access ne sont pas affectés par cette vulnérabilité.
[Publication initiale]
Un correctif est en attente de publication pour PAN-OS versions 11.1.x, 11.0.x et 10.2.x.
Résumé
[Mise à jour du 10 mai 2024] Le CERT-FR est intervenu pour le traitement d'une compromission par rançongiciel au sein d'une entité française. Dans le cadre de cette attaque, la vulnérabilité a été exploitée pour ensuite réaliser une latéralisation dans le système d'information de la victime et déployer le rançongiciel.
Par ailleurs, l'éditeur recommande l'ouverture d'un dossier de support et l'exécution d'une version améliorée de la remise en état d'usine (enhanced factory reset) [6] dans le cas où un équipement n'aurait pas été mis à jour avant le 25 avril 2024 ou si l'éventualité d'une compromission persistante ne peut pas être écartée après investigation.
[Mise à jour du 26 avril 2024]
Note importante : Si un équipement a déjà été compromis, l'application du correctif de sécurité ne suffit pas. Si des investigations n'ont pas été réalisées, elles doivent être faites pour s'assurer que l'équipement n'a pas été compromis avant sa mise à jour. En effet, dans ce cas, une remise en état d'usine sera requis.
[Mise à jour du 25 avril 2024]
Le CERT-FR a pris connaissance de cas d'exploitation de cette vulnérabilité par des acteurs rançongiciels.
Par ailleurs, les mesures de remédiation ont fait l'objet d'une clarification : la remise en état d'usine (factory reset) est fortement recommandée dans tous les cas, sauf contre-ordre explicite de l’éditeur.
[Mise à
jour du 19 avril 2024] Ajout de mesures de remédiation
Détection de la compromission
Il est recommandé de faire une demande d'assistance auprès de Palo Alto Networks au travers du portail de support (Customer Support Portal, CSP) en transmettant un technical support file (TSF) pour déterminer si les journaux de l'équipement contiennent des traces de tentatives d'exploitation de la vulnérabilité ([1]). Le fichier TSF contient des données sensibles et doit être stocké et transmis avec précautions.
De plus, le CERT-FR recommande également la recherche des éléments de compromission (adresses IP et condensats de fichiers) décrits dans [1], [2] et [3].
Mesures d'endiguement
En cas de suspicion ou de compromission avérée de l'équipement, les étapes suivantes doivent être suivies :
- Isoler l’équipement d'Internet, sans l'éteindre ;
-
Si l’équipement est une machine virtuelle, prendre un instantané
(snapshot) incluant la mémoire vive à des fins d’investigation
- Sinon, exporter les journaux pour éviter leur rotation ;
- Parallèlement, identifier les comptes du domaine Active Directory qui seraient configurés sur l'équipement suspecté. Réinitialiser les secrets associés à ces comptes afin d'éviter que l'attaquant ne puisse réutiliser ailleurs les identifiants éventuellement volés sur l'équipement.
Étapes d'investigation
-
Contacter le support Palo Alto Networks pour qu'il investigue le
fichier TSF préalablement exporté
- Le support voudra potentiellement se connecter à l'équipement pour approfondir l'investigation. Il faudra alors rétablir l'accès Internet au strict nécessaire ;
- Rechercher sur l’équipement des comptes à privilège ajoutés illégitimement ;
- En parallèle, rechercher dans les journaux du réseau (pare-feu, netflow, DNS) les traces de communications inhabituelles initiées depuis l'équipement ;
- Rechercher dans les journaux de connexion des systèmes internes des traces de connexion (applicative ou système) provenant de l'adresse IP de gestion de l'équipement.
Remédiation
Les étapes de remédiations suivantes doivent être suivies. Le support Palo Alto Networks est également susceptible de communiquer un processus de remédiation.
- Exporter la configuration ;
- Réaliser une remise en état d'usine (Factory Reset), sauf contre-ordre explicite de l'équipe support de l'éditeur ; (mise à jour du 25 avril 2024)
- Mettre à jour l'équipement jusqu'à la version contenant le dernier correctif de sécurité ;
- Réimporter la configuration ;
- Renouveler la clé de chiffrement principale (Master Key) [5] ;
- Renouveler les secrets d'authentification de l'équipement et révoquer les anciens certificats.
[Mise à jour du 18 avril 2024] Le
CERT-FR a connaissance d'incidents liés à l'exploitation de la
vulnérabilité.
Le CERT-FR a connaissance de plusieurs compromissions avérées en lien avec la vulnérabilité. Cette alerte sera mise à jour avec des compléments d'information.
[Mise à jour du 17 avril 2024] Le CERT-FR a
connaissance de codes d'exploitation publics et de tentatives
d'exploitation
Le CERT-FR a connaissance de codes d'exploitation publics et de tentatives d'exploitation qui pourraient évoluer vers des exploitations massives de la vulnérabilité. Le CERT-FR recommande donc de déployer les correctifs diffusés par l'éditeur dans les meilleurs délais. Veuillez vous référer à la section "Solution" pour plus de détails.
[Publication initiale]
Une vulnérabilité a été découverte dans la fonctionnalité GlobalProtect de Palo Alto Networks PAN-OS. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.
L'éditeur indique que la vulnérabilité CVE-2024-3400 est exploitée dans des attaques ciblées.
Contournement provisoire
[Mise à jour du 17 avril 2024] Mise à jour des mesures de contournement
L'éditeur présentait précédemment la désactivation de la télémétrie comme mesure de contournement. Cette mesure n'est plus considérée comme efficace et la vulnérabilité peut être exploitée même si la télémétrie est désactivée.
[Publication initiale]
Le CERT-FR recommande d'appliquer les mesures de contournement documentées par l'éditeur dans son avis de sécurité à la section Workarounds and Mitigations (cf. section Documentation).
Solution
[Mise à jour du 19 avril 2024] Publication des dernières versions correctives
Les versions correctives 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 11.0.0-h3 et 11.0.1-h4 ont été publiées.
[Mise à jour du 17 avril 2024] Ajout de versions correctives
Les versions correctives PAN-OS 10.2.6-h3, PAN-OS 10.2.5-h6, PAN-OS 11.0.3-h10, PAN-OS 11.0.2-h4, PAN-OS 11.1.1-h1 et PAN-OS 11.1.0-h3 ont été publiées.
[Mise à jour du 16 avril 2024] Ajout de versions correctives
Les versions correctives PAN-OS 10.2.8-h3 et PAN-OS 10.2.7-h8 ont été publiées.
[Mise à jour du 15 avril 2024] Publication des premières versions correctives
Les mises à jour suivantes contiennent un correctif de sécurité : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. L'éditeur indique que des versions correctives pour les autres versions communément déployées seront publiées progressivement jusqu'au 19 avril 2024.
[Publication initiale]
Palo Alto Networks a annoncé qu'un correctif sera disponible le 14 avril 2024.
Le CERT-FR recommande de consulter régulièrement les annonces de l'éditeur pour la mise à disposition des correctifs.
Documentation
- [1] Bulletin de sécurité Palo Alto Networks PAN-252214 du 12 avril 2024 https://security.paloaltonetworks.com/CVE-2024-3400
- [2] Analyse de Palo Alto Networks Unit42 du 12 avril 2024 https://unit42.paloaltonetworks.com/cve-2024-3400/
- [3] Analyse de Volexity du 12 avril 2024 https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/
- [4] Article de support Palo Alto Networks sur la création d'un TSF https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRlCAK
- [5] Article de support Palo Alto Networks sur la création d'une clé de chiffrement principale https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsbCAC
- [6] Article de support Palo Alto Networks pour la réalisation d'une remiste en état d'usine améliorée https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrO6CAK
- Avis CERTFR-2024-AVI-0307 du 15 avril 2024 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0307/
- Référence CVE CVE-2024-3400 https://www.cve.org/CVERecord?id=CVE-2024-3400