{"$ref":"https://www.cert.ssi.gouv.fr/openapi.json","affected_systems":[{"description":"PAN-OS versions 11.1.0 ant\u00e9rieures \u00e0 11.1.5-h1","product":{"name":"PAN-OS","vendor":{"name":"Palo Alto Networks","scada":false}}},{"description":"PAN-OS versions 11.0.0 ant\u00e9rieures \u00e0 11.0.6-h1","product":{"name":"PAN-OS","vendor":{"name":"Palo Alto Networks","scada":false}}},{"description":"PAN-OS versions 10.2.0 ant\u00e9rieures \u00e0 10.2.12-h2","product":{"name":"PAN-OS","vendor":{"name":"Palo Alto Networks","scada":false}}},{"description":"PAN-OS versions 11.2.0 ant\u00e9rieures \u00e0 11.2.4-h1","product":{"name":"PAN-OS","vendor":{"name":"Palo Alto Networks","scada":false}}}],"affected_systems_content":"L'\u00e9diteur pr\u00e9cise que les \u00e9quipements Prisma Access et Cloud NGFW ne sont pas concern\u00e9s par ces vuln\u00e9rabilit\u00e9s. ","closed_at":"2025-01-27","content":"## Solutions\n\n\n\n**\\[Mise \u00e0 jour du 18 novembre 2024\\]** <br>Des correctifs sont disponibles pour cette vuln\u00e9rabilit\u00e9.\n\n\nLes pare-feux les plus \u00e0 risque sont ceux exposant leur interface d'administration sur Internet. Palo Alto Networks a indiqu\u00e9 avoir effectu\u00e9 un scan pour identifier ces interfaces et inform\u00e9 les propri\u00e9taires d'\u00e9quipements concern\u00e9s au travers de leur espace client (voir la section *Required Configuration for Exposure* de l'avis de s\u00e9curit\u00e9). \nDe plus, l'\u00e9diteur propose un guide de s\u00e9curisation des interfaces d'administration [1]. \n\nSi une interface d'administration est expos\u00e9e ou a \u00e9t\u00e9 expos\u00e9e sur Internet, le CERT-FR recommande de : \n1. isoler les \u00e9quipements du r\u00e9seau et r\u00e9aliser un gel de donn\u00e9es (instantan\u00e9 pour les machines virtuelles, isolement de l\u2019\u00e9quipement s\u2019il s\u2019agit d\u2019un \u00e9quipement physique) \u00e0 des fins d\u2019investigations approfondies ;\n2. reconstruire la solution avec une version \u00e0 jour et en suivant les recommandations de s\u00e9curit\u00e9 de l'\u00e9diteur pour le d\u00e9ploiement de l'interface d'administration.\n\nSi l'interface d'administration n'est pas expos\u00e9e sur internet, l'\u00e9quipement reste n\u00e9anmoins vuln\u00e9rable \u00e0 une exploitation pour un attaquant ayant acc\u00e8s \u00e0 l'interface, par exemple depuis un r\u00e9seau d'administration. Le CERT-FR recommande donc de surveiller les connexions ou tentatives de connexion \u00e0 l'\u00e9quipement.\n\nEn cas de suspicion de compromission, il est recommand\u00e9 de consulter les [bons r\u00e9flexes en cas d'intrusion sur votre syst\u00e8me d'information](https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/) [2], ainsi que les fiches r\u00e9flexe sur la compromission syst\u00e8me [3] [4]. ","cves":[{"name":"CVE-2024-0012","url":"https://www.cve.org/CVERecord?id=CVE-2024-0012"},{"name":"CVE-2024-9474","url":"https://www.cve.org/CVERecord?id=CVE-2024-9474"}],"links":[{"title":"Bulletin de s\u00e9curit\u00e9 Palo Alto Networks CVE-2024-9474 du 18 novembre 2024","url":"https://security.paloaltonetworks.com/CVE-2024-9474"},{"title":"Billet de blogue Unit42 du 18 novembre 2024 ","url":"https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/"},{"title":"[2] Les bons r\u00e9flexes en cas d\u2019intrusion sur un syst\u00e8me d\u2019information","url":"https://www.cert.ssi.gouv.fr/les-bons-reflexes-en-cas-dintrusion-sur-un-systeme-dinformation/"},{"title":"[4] Fiche r\u00e9flexe Compromission syst\u00e8me - Endiguement","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-006/"},{"title":"[3]\u00a0Fiche r\u00e9flexe Compromission syst\u00e8me - Qualification","url":"https://www.cert.ssi.gouv.fr/fiche/CERTFR-2024-RFX-005/"},{"title":"Bulletin de s\u00e9curit\u00e9 Palo Alto Networks CVE-2024-0012 du 18 novembre 2024","url":"https://security.paloaltonetworks.com/CVE-2024-0012"},{"title":"Avis CERTFR-2024-AVI-1001 du 19 novembre 2024","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-1001"},{"title":"[1] Guide de s\u00e9curisation des interfaces d'administration des \u00e9quipements Palo Alto Networks","url":"https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431"},{"title":"Avis CERTFR-2024-AVI-0990 du 15 novembre 2024","url":"https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0990"}],"reference":"CERTFR-2024-ALE-015","revisions":[{"description":"Version initiale","revision_date":"2024-11-15T00:00:00.000000"},{"description":"Ajout de l'identifiant CVE et de correctifs","revision_date":"2024-11-18T00:00:00.000000"},{"description":"Ajout de la vuln\u00e9rabilit\u00e9 CVE-2024-9474 et de la publication d'une preuve de concept","revision_date":"2024-11-19T00:00:00.000000"},{"description":"Modification du titre","revision_date":"2024-11-25T00:00:00.000000"},{"description":"Cl\u00f4ture de l'alerte. Cela ne signifie pas la fin d'une menace. Seule l'application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l'exploitation de la vuln\u00e9rabilit\u00e9 correspondante.","revision_date":"2025-01-27T00:00:00.000000"}],"risks":[{"description":"Ex\u00e9cution de code arbitraire \u00e0 distance"}],"summary":"Le 8 novembre 2024, Palo Alto Networks a publi\u00e9 un avis de s\u00e9curit\u00e9 relatif \u00e0 une vuln\u00e9rabilit\u00e9 critique dans certains pare-feux Palo Alto Networks. Elle permet \u00e0 un attaquant non authentifi\u00e9 d'ex\u00e9cuter du code arbitraire \u00e0 distance sur l'interface d'administration des \u00e9quipements.\n\nL'\u00e9diteur indique dans une mise \u00e0 jour du 14 novembre 2024 avoir connaissance de l'exploitation de cette vuln\u00e9rabilit\u00e9 sur des pare-feux exposant leur interface d'administration sur Internet. \n\n<span class=\"important-content\">\n\n**\\[Mise \u00e0 jour du 19 novembre 2024\\]** \n\n</span>\n\nLe 18 novembre 2024, l'\u00e9diteur a publi\u00e9 un avis de s\u00e9curit\u00e9 concernant la vuln\u00e9rabilit\u00e9 CVE-2024-9474. Celle-ci permet d'\u00e9lever ses privil\u00e8ges et peut \u00eatre utilis\u00e9e \u00e0 la suite de la vuln\u00e9rabilit\u00e9 publi\u00e9e le 8 novembre 2024, ayant d\u00e9sormais l'identifiant CVE-2024-0012, afin d'obtenir les droits les plus \u00e9lev\u00e9s sur l'\u00e9quipement.\n\nUne preuve de concept permettant l'exploitation de ces deux vuln\u00e9rabilit\u00e9s est disponible publiquement. \n\n","title":"[M\u00e0J] Multiples vuln\u00e9rabilit\u00e9s sur l'interface d'administration des \u00e9quipements Palo Alto Networks","vendor_advisories":[{"published_at":"2024-11-14","title":"Bulletin de s\u00e9curit\u00e9 Palo Alto Networks","url":"https://security.paloaltonetworks.com/PAN-SA-2024-0015"}]}