CERTFR-2024-ALE-015_Vulnérabilité sur l'interface de management des équipements Palo Alto Networks
Publié le 18 novembre 2024 à 18h12 - Mis à jour le 31 janvier 2025 à 15h41
Objet
Vulnérabilité sur l'interface de management des équipements Palo Alto Networks
Référence
CERTFR-2024-ALE-015
Risques
- Exécution de code arbitraire à distance
Systèmes affectés
- PAN-OS versions 11.1.0 antérieures à 11.1.5-h1
- PAN-OS versions 11.0.0 antérieures à 11.0.6-h1
- PAN-OS versions 10.2.0 antérieures à 10.2.12-h2
- PAN-OS versions 11.2.0 antérieures à 11.2.4-h1
L'éditeur précise que les équipements Prisma Access et Cloud NGFW ne sont pas concernés par cette vulnérabilité.
Résumé
Le 8 novembre 2024, Palo Alto Networks a publié un avis de sécurité relatif à une vulnérabilité critique dans certains pare-feux Palo Alto Networks. Elle permet à un attaquant non authentifié d'exécuter du code arbitraire à distance sur l'interface d'administration des équipements.
L'éditeur indique dans une mise à jour du 14 novembre 2024 avoir connaissance de l'exploitation de cette vulnérabilité sur des pare-feux exposant leur interface d'administration sur Internet.
Solutions
[Mise à jour du 18 novembre 2024] - Des correctifs sont disponibles pour cette vulnérabilité.
Les pare-feux les plus à risque sont ceux exposant leur interface d'administration sur Internet. Palo Alto Networks a indiqué avoir effectué un scan pour identifier ces interfaces et informé les propriétaires d'équipements concernés au travers de leur espace client (voir la section Required Configuration for Exposure de l'avis de sécurité). De plus, l'éditeur propose un guide de sécurisation des interfaces d'administration [1].
Si une interface d'administration est exposée ou a été exposée sur Internet, le CERT-FR recommande de :
- isoler les équipements du réseau et réaliser un gel de données (instantané pour les machines virtuelles, isolement de l’équipement s’il s’agit d’un équipement physique) à des fins d’investigations approfondies ;
- reconstruire la solution avec une version à jour et en suivant les recommandations de sécurité de l'éditeur pour le déploiement de l'interface d'administration.
Si l'interface d'administration n'est pas exposée sur internet, l'équipement reste néanmoins vulnérable à une exploitation pour un attaquant ayant accès à l'interface, par exemple depuis un réseau d'administration. Le CERT-FR recommande donc de surveiller les connexions ou tentatives de connexion à l'équipement.
En cas de suspicion de compromission, il est recommandé de consulter les bons réflexes en cas d'intrusion sur votre système d'information [2], ainsi que les fiches réflexe sur la compromission système [3] [4].
Documentation
- Bulletin de sécurité Palo Alto Networks du 14 novembre 2024
- [1] Guide de sécurisation des interfaces d'administration des équipements Palo Alto Networks
- [2] Les bons réflexes en cas d’intrusion sur un système d’information
- [3] Fiche réflexe Compromission système - Qualification
- [4] Fiche réflexe Compromission système - Endiguement
- Avis CERTFR-2024-AVI-0990 du 15 novembre 2024
- Billet de blogue Unit42 du 18 novembre 2024
- Référence CVE CVE-2024-0012