{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"PAN-OS 10.2.x ant\u00e9rieures \u00e0 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3 et 10.2.9-h1","product":{"name":"N/A","vendor":{"name":"Palo Alto Networks","scada":false}}},{"description":"PAN-OS 11.0.x versions ant\u00e9rieures \u00e0 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10 et 11.0.4-h1","product":{"name":"N/A","vendor":{"name":"Palo Alto Networks","scada":false}}},{"description":"PAN-OS 11.1.x versions ant\u00e9rieures \u00e0 11.1.0-h3, 11.1.1-h1 et 11.1.2-h3","product":{"name":"N/A","vendor":{"name":"Palo Alto Networks","scada":false}}}],"affected_systems_content":"

[Mise \u00e0 jour du 19 avril 2024] Publication des derni\u00e8res versions correctives

[Mise \u00e0 jour du 15 avril 2024] Publication des premi\u00e8res versions correctives
Les mises \u00e0 jour suivantes contiennent un correctif de s\u00e9curit\u00e9 : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3.

L'\u00e9diteur pr\u00e9cise que les produits Cloud NGFW, Panorama et Prisma Access ne sont pas affect\u00e9s par cette vuln\u00e9rabilit\u00e9.

[Publication initiale]
Un correctif est en attente de publication pour PAN-OS versions 11.1.x, 11.0.x et 10.2.x.

","closed_at":"2024-07-01","content":"## Contournement provisoire\n\n**\\[Mise \u00e0 jour du 17 avril 2024\\] Mise \u00e0 jour des mesures de\ncontournement**\n\nL'\u00e9diteur pr\u00e9sentait pr\u00e9c\u00e9demment la d\u00e9sactivation de la t\u00e9l\u00e9m\u00e9trie\ncomme mesure de contournement. Cette mesure n'est plus consid\u00e9r\u00e9e comme\nefficace et la vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e m\u00eame si la t\u00e9l\u00e9m\u00e9trie\nest d\u00e9sactiv\u00e9e.\n\n**\\[Publication initiale\\]**\n\nLe CERT-FR recommande d'appliquer les mesures de contournement\ndocument\u00e9es par l'\u00e9diteur dans son avis de s\u00e9curit\u00e9 \u00e0 la section *Workarounds\nand Mitigations* (cf. section Documentation).\n\n## Solution\n\n**\\[Mise \u00e0 jour du 19 avril 2024\\]\nPublication des derni\u00e8res versions correctives**\n\nLes versions correctives 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13,\n10.2.4-h16, 11.0.0-h3 et 11.0.1-h4\u00a0 ont \u00e9t\u00e9 publi\u00e9es.\n\n**\\[Mise \u00e0 jour du 17 avril 2024\\] Ajout de versions correctives**\n\nLes versions correctives PAN-OS 10.2.6-h3, PAN-OS 10.2.5-h6, PAN-OS\n11.0.3-h10, PAN-OS 11.0.2-h4, PAN-OS 11.1.1-h1 et PAN-OS 11.1.0-h3 ont\n\u00e9t\u00e9 publi\u00e9es.\n\n**\\[Mise \u00e0 jour du 16 avril 2024\\] Ajout\nde versions correctives**\n\nLes versions correctives PAN-OS 10.2.8-h3 et PAN-OS 10.2.7-h8 ont \u00e9t\u00e9\npubli\u00e9es.\n\n**\\[Mise \u00e0 jour du 15 avril 2024\\] Publication des premi\u00e8res versions\ncorrectives**\n\nLes mises \u00e0 jour suivantes contiennent un correctif de s\u00e9curit\u00e9 : PAN-OS\n10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. L'\u00e9diteur indique que\ndes versions correctives pour les autres versions commun\u00e9ment d\u00e9ploy\u00e9es\nseront publi\u00e9es progressivement jusqu'au 19 avril 2024.\n\n**\\[Publication initiale\\]**\n\nPalo Alto Networks a annonc\u00e9 qu'un correctif sera disponible le 14 avril\n2024.\n\nLe CERT-FR recommande de\nconsulter r\u00e9guli\u00e8rement les annonces de l'\u00e9diteur pour la mise \u00e0\ndisposition des correctifs.\n","cves":[{"name":"CVE-2024-3400","url":"https://www.cve.org/CVERecord?id=CVE-2024-3400"}],"links":[{"title":"[3] Analyse de Volexity du 12 avril 2024","url":"https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"},{"title":"[4] Article de support Palo Alto Networks sur la cr\u00e9ation d'un TSF","url":"https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRlCAK"},{"title":"[6] Article de support Palo Alto Networks pour la r\u00e9alisation d'une remiste en \u00e9tat d'usine am\u00e9lior\u00e9e","url":"https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrO6CAK"},{"title":"Avis CERTFR-2024-AVI-0307 du 15 avril 2024","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0307/"},{"title":"[5] Article de support Palo Alto Networks sur la cr\u00e9ation d'une cl\u00e9 de chiffrement principale","url":"https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsbCAC"},{"title":"[2] Analyse de Palo Alto Networks Unit42 du 12 avril 2024","url":"https://unit42.paloaltonetworks.com/cve-2024-3400/"}],"reference":"CERTFR-2024-ALE-006","revisions":[{"description":"Version initiale","revision_date":"2024-04-12T00:00:00.000000"},{"description":"Publication des premi\u00e8res versions correctives et ajout de pr\u00e9cisions","revision_date":"2024-04-15T00:00:00.000000"},{"description":"Ajout de nouvelles versions correctives","revision_date":"2024-04-16T00:00:00.000000"},{"description":"Codes d'exploitation publics, modification des mesures de contournement et nouvelles versions correctives","revision_date":"2024-04-17T00:00:00.000000"},{"description":"Le CERT-FR a connaissance d'incidents li\u00e9s \u00e0 l'exploitation de la vuln\u00e9rabilit\u00e9","revision_date":"2024-04-18T00:00:00.000000"},{"description":"Ajout de mesures de rem\u00e9diation","revision_date":"2024-04-19T00:00:00.000000"},{"description":"Clarification et information concernant l'exploitation de la vuln\u00e9rabilit\u00e9.","revision_date":"2024-04-25T00:00:00.000000"},{"description":"compl\u00e9ment d'information concernant la n\u00e9cessit\u00e9 de r\u00e9aliser des investigations.","revision_date":"2024-04-26T00:00:00.000000"},{"description":"compl\u00e9ment d'information sur un incident trait\u00e9 par le CERT-FR et nouvelle proc\u00e9dure de remise en \u00e9tat d'usine.","revision_date":"2024-05-10T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2024-07-01T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"\\[Mise \u00e0 jour du 10 mai 2024\\]\nLe CERT-FR est intervenu pour le traitement d'une compromission\npar ran\u00e7ongiciel au sein d'une entit\u00e9 fran\u00e7aise. Dans le cadre de cette\nattaque, la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 exploit\u00e9e pour ensuite r\u00e9aliser une\nlat\u00e9ralisation dans le syst\u00e8me d'information de la victime et d\u00e9ployer\nle ran\u00e7ongiciel.\n\nPar ailleurs, l'\u00e9diteur recommande l'ouverture d'un dossier de support\net l'ex\u00e9cution d'une version\nam\u00e9lior\u00e9e de la remise en \u00e9tat d'usine (*enhanced factory reset*)\n\\[6\\] dans le cas o\u00f9 un \u00e9quipement n'aurait pas \u00e9t\u00e9 mis \u00e0 jour avant le\n25 avril 2024 ou si l'\u00e9ventualit\u00e9 d'une compromission persistante ne\npeut pas \u00eatre \u00e9cart\u00e9e apr\u00e8s investigation.\n\n\u00a0\n\n\\[Mise \u00e0 jour du 26 avril 2024\\]\n\n\nNote importante : Si un\n\u00e9quipement a d\u00e9j\u00e0 \u00e9t\u00e9 compromis, l'application du correctif de s\u00e9curit\u00e9\nne suffit pas. Si des investigations n'ont pas \u00e9t\u00e9 r\u00e9alis\u00e9es, elles doivent \u00eatre faites\npour s'assurer que l'\u00e9quipement n'a pas \u00e9t\u00e9 compromis avant sa mise \u00e0\njour. En effet, dans ce cas, une remise en \u00e9tat d'usine sera requis.\n\n\\[Mise \u00e0\njour du 25 avril 2024\\] \n\nLe CERT-FR a pris connaissance de cas\nd'exploitation de cette vuln\u00e9rabilit\u00e9 par des acteurs\nran\u00e7ongiciels.\n\nPar ailleurs, les mesures de rem\u00e9diation\nont fait l'objet d'une clarification : la remise en \u00e9tat d'usine\n(*factory reset*) est fortement recommand\u00e9e dans tous les cas, sauf\ncontre-ordre explicite de l\u2019\u00e9diteur.\n\n\u00a0\n\n\\[Mise \u00e0\njour du 19 avril 2024\\] Ajout de mesures de rem\u00e9diation \n\n\n### D\u00e9tection de la compromission\n\nIl est recommand\u00e9 de faire une demande d'assistance aupr\u00e8s de Palo Alto\nNetworks au travers du portail de support (*Customer Support Portal,\nCSP*) en transmettant un *technical support file* (TSF) pour d\u00e9terminer\nsi les journaux de l'\u00e9quipement contiennent des traces de tentatives\nd'exploitation de la vuln\u00e9rabilit\u00e9 (\\[1\\]). Le fichier TSF contient des\ndonn\u00e9es sensibles et doit \u00eatre stock\u00e9 et transmis avec pr\u00e9cautions.\n\nDe plus, le CERT-FR recommande \u00e9galement la recherche des \u00e9l\u00e9ments de\ncompromission (adresses IP et condensats de fichiers) d\u00e9crits dans\n\\[1\\], \\[2\\] et \\[3\\].\n\n### Mesures d'endiguement\n\nEn cas de suspicion ou de compromission av\u00e9r\u00e9e de l'\u00e9quipement, les\n\u00e9tapes suivantes doivent \u00eatre suivies :\n\n1. Isoler l\u2019\u00e9quipement d'Internet, sans l'\u00e9teindre ;\n2. Si l\u2019\u00e9quipement est une machine virtuelle, prendre un instantan\u00e9\n (*snapshot*) incluant la m\u00e9moire vive \u00e0 des fins d\u2019investigation\n - Sinon, exporter les journaux pour \u00e9viter leur rotation ;\n3. Parall\u00e8lement, identifier les comptes du domaine Active Directory\n qui seraient configur\u00e9s sur l'\u00e9quipement suspect\u00e9. R\u00e9initialiser les\n secrets associ\u00e9s \u00e0 ces comptes afin d'\u00e9viter que l'attaquant ne\n puisse r\u00e9utiliser ailleurs les identifiants \u00e9ventuellement vol\u00e9s sur\n l'\u00e9quipement.\n\n### \u00c9tapes d'investigation\n\n1. Contacter le support Palo Alto Networks pour qu'il investigue le\n fichier TSF pr\u00e9alablement export\u00e9\n - Le support voudra potentiellement se connecter \u00e0 l'\u00e9quipement\n pour approfondir l'investigation. Il faudra alors r\u00e9tablir\n l'acc\u00e8s Internet au strict n\u00e9cessaire ;\n2. Rechercher sur l\u2019\u00e9quipement des comptes \u00e0 privil\u00e8ge ajout\u00e9s\n ill\u00e9gitimement ;\n3. En parall\u00e8le, rechercher dans les journaux du r\u00e9seau (pare-feu,\n netflow, DNS) les traces de communications inhabituelles initi\u00e9es\n depuis l'\u00e9quipement ;\n4. Rechercher dans les journaux de connexion des syst\u00e8mes internes des\n traces de connexion (applicative ou syst\u00e8me) provenant de l'adresse\n IP de gestion de l'\u00e9quipement.\n\n### Rem\u00e9diation\n\nLes \u00e9tapes de rem\u00e9diations suivantes doivent \u00eatre suivies. Le support\nPalo Alto Networks est \u00e9galement susceptible de communiquer un processus\nde rem\u00e9diation.\n\n1. Exporter la configuration ;\n2. R\u00e9aliser une remise en \u00e9tat d'usine (*Factory Reset*), sauf\n contre-ordre explicite de l'\u00e9quipe support de l'\u00e9diteur ; (mise \u00e0 jour du 25 avril 2024)\n3. Mettre \u00e0 jour l'\u00e9quipement jusqu'\u00e0 la version contenant le dernier\n correctif de s\u00e9curit\u00e9 ;\n4. R\u00e9importer la configuration ;\n5. Renouveler la cl\u00e9 de chiffrement principale (*Master Key*) \\[5\\] ;\n6. Renouveler les secrets d'authentification de l'\u00e9quipement et\n r\u00e9voquer les anciens certificats.\n\n\\[Mise \u00e0 jour du 18 avril 2024\\]\u00a0Le\nCERT-FR a connaissance d'incidents li\u00e9s \u00e0 l'exploitation de la\nvuln\u00e9rabilit\u00e9. \n\n\nLe CERT-FR a connaissance de plusieurs compromissions av\u00e9r\u00e9es en lien\navec la vuln\u00e9rabilit\u00e9. Cette alerte sera mise \u00e0 jour avec des\ncompl\u00e9ments d'information.\n\n\\[Mise \u00e0 jour du 17 avril 2024\\] Le CERT-FR a\nconnaissance de codes d'exploitation publics et de tentatives\nd'exploitation \n\n\nLe CERT-FR a connaissance de codes d'exploitation publics et de\ntentatives d'exploitation qui pourraient \u00e9voluer vers des exploitations\nmassives de la vuln\u00e9rabilit\u00e9. Le CERT-FR recommande donc de d\u00e9ployer les\ncorrectifs diffus\u00e9s par l'\u00e9diteur dans les meilleurs d\u00e9lais. Veuillez\nvous r\u00e9f\u00e9rer \u00e0 la section \"Solution\" pour plus de d\u00e9tails.\n\n\\[Publication initiale\\]\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans la fonctionnalit\u00e9 GlobalProtect\nde Palo Alto Networks PAN-OS. Elle permet \u00e0 un attaquant de provoquer\nune ex\u00e9cution de code arbitraire \u00e0 distance.\n\nL'\u00e9diteur indique que la vuln\u00e9rabilit\u00e9 CVE-2024-3400 est exploit\u00e9e dans\ndes attaques cibl\u00e9es.\n","title":"[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Palo Alto Networks GlobalProtect","vendor_advisories":[{"published_at":"2024-04-12","title":"[1] Bulletin de s\u00e9curit\u00e9 Palo Alto Networks PAN-252214","url":"https://security.paloaltonetworks.com/CVE-2024-3400"}]}