Cyberattaques en cours : une faille zero-day expose les firewalls de chez Palo Alto Networks !
Palo Alto Networks alerte ses clients : une faille de sécurité zero-day, considérée comme critique, est actuellement exploitée dans le cadre de cyberattaques ! Il est urgent de se protéger contre cette vulnérabilité. Faisons le point.
Une nouvelle faille de sécurité critique a été découverte sur l'interface de gestion de PAN-OS, le système d'exploitation utilisé par les firewalls de chez Palo Alto Networks. Cette vulnérabilité, suivie en interne chez Palo Alto avec la référence "PAN-SA-2024-0015", a été dévoilée le 8 novembre dernier. À ce moment-là, l'éditeur américain évoquait une potentielle vulnérabilité, tout en évoquant qu'il n'y avait pas de signe d'exploitation.
Cette vulnérabilité est bien réelle, et désormais, elle est exploitée par les cybercriminels ! Ce n'est pas une surprise : elle représente une porte d'entrée pour accéder au réseau des entreprises équipées d'un firewall Palo Alto. Enfin, ceci est vrai à condition que l'interface de gestion soit exposée sur Internet.
"Palo Alto Networks a observé une activité malveillante exploitant une vulnérabilité d'exécution de commande à distance non authentifiée contre un nombre limité d'interfaces de gestion de pare-feu qui sont exposées à l'Internet. Nous enquêtons activement sur cette activité.", peut-on lire dans le bulletin de sécurité de l'éditeur.
La vulnérabilité, associée à un score CVSS v4.0 de 9.3 sur 10, est exploitable à distance et ne nécessite aucune authentification ou interaction avec l'utilisateur. Une requête spéciale envoyée sur l'interface de gestion du firewall peut permettre à l'attaquant de modifier la configuration et de prendre le contrôle du firewall. Il peut ensuite ajuster la configuration à sa guise....
Comment se protéger ?
Cette vulnérabilité, qui n'a pas encore de référence CVE, n'a pas non plus de correctif de sécurité. Palo Alto Networks travaille sur le développement d'un patch... En attendant, il est recommandé de suivre les bonnes pratiques pour la configuration de l'interface de gestion.
Vous pouvez notamment vous référer à cette page du blog officiel. Il est recommandé de ne pas exposer l'interface de gestion sur Internet et de limiter les adresses IP autorisées à s'y connecter, grâce à une liste blanche.
Plus de 6 000 firewalls Palo Alto vulnérables !
Une analyse effectuée par The Shadowserver Foundation met en évidence le nombre de firewalls Palo Alto avec une interface de gestion exposée sur Internet. À l'heure actuelle, il y en a 6 642, soit autant de cibles potentielles pour les attaquants. Le 11 novembre dernier, ce nombre était encore plus élevé : 9 942 firewalls. Cela montre que les administrateurs font le nécessaire pour protéger leur firewall de cette nouvelle vulnérabilité.
Voici quelques statistiques pour certains pays (en nombre d'interfaces de gestion exposées sur Internet) :
- États-Unis : 2 062
- France : 116
- Canada : 80
- Suisse : 17
- Belgique : 8
De son côté, le moteur de recherche Shodan.io, met en évidence 16 306 interfaces de gestion Palo Alto disponibles sur Internet...
