Risque
- Exécution de code arbitraire à distance
Systèmes affectés
- Pare-feux Palo Alto Networks
L'éditeur précise que les équipements Prisma Access et Cloud NGFW ne seraient pas concernés par cette vulnérabilité.
Résumé
Le 8 novembre 2024, Palo Alto Networks a publié un avis de sécurité relatif à une vulnérabilité critique dans certains pare-feux Palo Alto Networks. Elle permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur l'interface d'administration des équipements.
L'éditeur indique dans une mise à jour du 14 novembre 2024 avoir connaissance de l'exploitation de cette vulnérabilité sur des pare-feux exposant leur interface d'administration sur Internet.
Pour le moment, aucun identifiant CVE n'est associé à cette vulnérabilité.
Solutions
Aucun correctif pour cette vulnérabilité n'est disponible pour le moment.
Les pare-feux les plus à risque sont ceux exposant leur interface d'administration sur Internet. Palo Alto Networks a indiqué avoir effectué un scan pour identifier ces interfaces et informé les propriétaires d'équipements concernés au travers de leur espace client (voir la section Required Configuration for Exposure de l'avis de sécurité). De plus, l'éditeur propose un guide de sécurisation des interfaces d'administration [1].
Si une interface d'administration est exposée ou a été exposée sur Internet, le CERT-FR recommande de :
- isoler les équipements du réseau et réaliser un gel de données (instantané pour les machines virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique) à des fins d’investigations approfondies ;
- reconstruire la solution avec une version à jour et en suivant les recommandations de sécurité de l'éditeur pour le déploiement de l'interface d'administration.
Si l'interface d'administration n'est pas exposée sur internet, l'équipement reste néanmoins vulnérable à une exploitation pour un attaquant ayant accès à l'interface, par exemple depuis un réseau d'administration. Le CERT-FR recommande donc de surveiller les connexions ou tentatives de connexion à l'équipement.
En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information [2], ainsi que les fiches réflexe sur la compromission système [3] [4].
Documentation
- Bulletin de sécurité Palo Alto Networks du 14 novembre 2024 https://security.paloaltonetworks.com/PAN-SA-2024-0015
- [1] Guide de sécurisation des interfaces d'administration des équipements Palo Alto Networks https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
- [2] Les bons réflexes en cas d’intrusion sur un système d’information https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/
- [3] Fiche réflexe Compromission système - Qualification https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-005/
- [4] Fiche réflexe Compromission système - Endiguement https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-006/
- Avis CERTFR-2024-AVI-0990 du 15 novembre 2024 https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0990
