Le BSI met en garde : le système d'exploitation PAN-OS présente une vulnérabilité flagrante et critique qui a été évaluée avec une valeur CVSS de 10.0 sur 10. Les entreprises doivent agir immédiatement et appliquer les correctifs à venir ou utiliser les solutions de contournement disponibles.
Selon le BSI - l'Office fédéral de la sécurité de l'information, la société Palo Alto Networks a publié le 12 avril 2024 un avis concernant une vulnérabilité activement exploitée dans PAN-OS, le système d'exploitation des pare-feu du fabricant. La vulnérabilité, identifiée comme CVE-2024-3400, est une injection de commande du système d'exploitation dans la fonctionnalité GlobalProtect Gateway qui permet à un attaquant distant non authentifié d'exécuter du code avec les privilèges root sur le pare-feu. La vulnérabilité a été évaluée selon le Common Vulnerability Scoring System (CVSS) avec la valeur la plus élevée 10.0 (« critique » ; CVSS 4.0).
Pare-feu et systèmes d'exploitation concernés
La vulnérabilité CVE-2024-3400 affecte les pare-feu avec :
- PAN-OS 11.1 avec version < 11.1.2-h3
- PAN-OS 11.0 avec version < 11.0.4-h1
- PAN-OS 10.2 avec version < 10.2.9-h1
avec GlobalProtect Gateway configuré et fonction de télémétrie activée.
Si une des configurations mentionnées n'est pas activée, l'exploitation n'est pas possible. Les anciennes versions de PAN-OS (10.1, 10.0, 9.1 et 9.0), la solution cloud NGFW, Panorama Appliances et Prisma Access ne sont pas concernés !
Les correctifs (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) selon les informations contenues dans l'avis devrait sortir le 14 avril 2024. Palo Alto Networks affirme avoir observé un nombre limité d'attaques utilisant cette vulnérabilité.
Mesures rapides et solutions de contournement
Il n'y a actuellement aucun correctif disponible. Toutefois, ceux-ci devraient probablement être disponibles à partir du 14 avril 2024.
Les opérateurs doivent rapidement vérifier s'ils sont concernés par la vulnérabilité. Pour ce faire, vous pouvez vérifier dans l'interface Web sous Réseau > GlobalProtect > Passerelles si « GlobalProtect Gateway » est configuré et sous Périphérique > Configuration > Télémétrie si la fonction de télémétrie est activée. Si tel est le cas, l’une des solutions de contournement recommandées par Palo Alto doit être utilisée de toute urgence.
Solution de contournement 1
Les institutions doivent désactiver la fonction de télémétrie sur les appareils concernésjusqu'à ce que la version de PAN-OS soit mise à jour. Après avoir installé la mise à jour, l'option télémétrie doit être réactivée manuellement.
Solution de contournement 2
Les institutions utilisant le service Threat Prevention de Palo Alto peuvent bloquer les attaques en activant l'ID de menace 95187. De plus, la protection contre les vulnérabilités doit être activée sur l'interface GlobalProtect.
Le pare-feu a-t-il déjà été attaqué ?
Pour vérifier si le pare-feu a déjà été compromis, Palo Alto Networks dans le portail de support client (CSP).de télécharger un « fichier de support technique » (TSF) et de le faire vérifier pour l'exploitation de la vulnérabilité.
Plus sur BSI.Bund.de
À propos de l'Office fédéral de la sécurité de l'information (BSI) L'Office fédéral de la sécurité de l'information (BSI) est l'autorité fédérale de cybersécurité et le concepteur de la numérisation sécurisée en Allemagne. L'énoncé de mission : Le BSI, en tant qu'autorité fédérale de cybersécurité, conçoit la sécurité de l'information dans la numérisation par la prévention, la détection et la réponse pour l'État, les entreprises et la société.