S.G.D.S.N

Agence nationale
de la sécurité des
systèmes d'information

Paris, le 15 novembre 2024
N° CERTFR-2024-ALE-015
Affaire suivie par: CERT-FR

Bulletin d'alerte du CERT-FR

Objet: [MàJ] Multiples vulnérabilités sur l'interface d'administration des équipements Palo Alto Networks

Gestion du document

Référence CERTFR-2024-ALE-015
Titre [MàJ] Multiples vulnérabilités sur l'interface d'administration des équipements Palo Alto Networks
Date de la première version15 novembre 2024
Date de la dernière version25 novembre 2024
Source(s) Bulletin de sécurité Palo Alto Networks du 14 novembre 2024
Pièce(s) jointe(s) Aucune(s)
Tableau 1: Gestion du document

Une gestion de version détaillée se trouve à la fin de ce document.

Risque

  • Exécution de code arbitraire à distance

Systèmes affectés

  • PAN-OS versions 10.2.0 antérieures à 10.2.12-h2
  • PAN-OS versions 11.0.0 antérieures à 11.0.6-h1
  • PAN-OS versions 11.1.0 antérieures à 11.1.5-h1
  • PAN-OS versions 11.2.0 antérieures à 11.2.4-h1

L'éditeur précise que les équipements Prisma Access et Cloud NGFW ne sont pas concernés par ces vulnérabilités.

Résumé

Le 8 novembre 2024, Palo Alto Networks a publié un avis de sécurité relatif à une vulnérabilité critique dans certains pare-feux Palo Alto Networks. Elle permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur l'interface d'administration des équipements.

L'éditeur indique dans une mise à jour du 14 novembre 2024 avoir connaissance de l'exploitation de cette vulnérabilité sur des pare-feux exposant leur interface d'administration sur Internet.

[Mise à jour du 19 novembre 2024]

Le 18 novembre 2024, l'éditeur a publié un avis de sécurité concernant la vulnérabilité CVE-2024-9474. Celle-ci permet d'élever ses privilèges et peut être utilisée à la suite de la vulnérabilité publiée le 8 novembre 2024, ayant désormais l'identifiant CVE-2024-0012, afin d'obtenir les droits les plus élevés sur l'équipement.

Une preuve de concept permettant l'exploitation de ces deux vulnérabilités est disponible publiquement.

Solutions

[Mise à jour du 18 novembre 2024]
Des correctifs sont disponibles pour cette vulnérabilité.

Les pare-feux les plus à risque sont ceux exposant leur interface d'administration sur Internet. Palo Alto Networks a indiqué avoir effectué un scan pour identifier ces interfaces et informé les propriétaires d'équipements concernés au travers de leur espace client (voir la section Required Configuration for Exposure de l'avis de sécurité). De plus, l'éditeur propose un guide de sécurisation des interfaces d'administration [1].

Si une interface d'administration est exposée ou a été exposée sur Internet, le CERT-FR recommande de :

  1. isoler les équipements du réseau et réaliser un gel de données (instantané pour les machines virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique) à des fins d’investigations approfondies ;
  2. reconstruire la solution avec une version à jour et en suivant les recommandations de sécurité de l'éditeur pour le déploiement de l'interface d'administration.

Si l'interface d'administration n'est pas exposée sur internet, l'équipement reste néanmoins vulnérable à une exploitation pour un attaquant ayant accès à l'interface, par exemple depuis un réseau d'administration. Le CERT-FR recommande donc de surveiller les connexions ou tentatives de connexion à l'équipement.

En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information [2], ainsi que les fiches réflexe sur la compromission système [3] [4].

Documentation

Gestion détaillée du document

    le 15 novembre 2024
    Version initiale
    le 18 novembre 2024
    Ajout de l'identifiant CVE et de correctifs
    le 19 novembre 2024
    Ajout de la vulnérabilité CVE-2024-9474 et de la publication d'une preuve de concept
    le 25 novembre 2024
    Modification du titre