Environ 2 000 firewalls Palo Alto piratés en quelques jours avec les dernières failles de sécurité !
En quelques jours, les cybercriminels ont piraté plusieurs milliers de firewalls Palo Alto grâce à l'exploitation de deux failles de sécurité critiques. Si vous utilisez cette solution, il est urgent de vous protéger ! Faisons le point.
L'alerte émise par Palo Alto Networks il y a quelques jours était légitime et la situation ne cesse de s'aggraver. Il s'avère que les cybercriminels exploitent activement deux failles de sécurité :
- CVE-2024-0012 : une vulnérabilité présente dans l'interface de management de PAN-OS, le système utilisé par les firewalls Palo Alto. En l'exploitant, un attaquant distant peut obtenir les privilèges administrateurs sur l'équipement.
- CVE-2024-9474 : une vulnérabilité présente également dans PAN-OS permettant une élévation de privilèges, dans le but d'exécuter des commandes en tant que root sur l'équipement vulnérable.
La première vulnérabilité fait l'objet d'une surveillance particulière depuis le 8 novembre dernier, date depuis laquelle Palo Alto demande à ses utilisateurs de restreindre l'accès à l'interface de gestion. Cette faille de sécurité traquée initialement avec la référence interne PAN-SA-2024-0015 est désormais associée à la CVE-2024-0012. Tandis que la seconde vulnérabilité a été divulguée lundi 18 novembre 2024.
Des milliers de firewalls Palo Alto compromis !
Dans le cadre de ce que Palo Alo Networks appelle l'Operation Lunar Peek, les équipes de l'éditeur travaillent main dans la main avec les clients pour les aider à se protéger de ces menaces, notamment en sécurisant l'interface de gestion.
"Palo Alto Networks a identifié une activité de menace exploitant potentiellement CVE-2024-0012 et CVE-2024-9474 contre un nombre limité d'interfaces web de gestion.", peut-on lire dans le rapport de Palo Alto.
Pire encore, il se pourrait qu'un exploit public permettant d'exploiter les 2 vulnérabilités soit disponible : "L'unité 42 estime, avec un degré de confiance moyen à élevé, qu'un exploit pour la chaîne d'exploitation CVE-2024-0012 et CVE-2024-9474 est accessible au public, ce qui permettra d'élargir la portée de la menace.", précise ce même rapport.
D'après les analyses effectuées par The Shadowserver qui suit de près la situation depuis le début, environ 2 000 pare-feux Palo Alto auraient déjà été piratés depuis le début de cette campagne. Parmi ces firewalls compromis, 21 sont situés en France. Voici un aperçu de la carte publiée :
Si vous utilisez un firewall Palo Alto, il est urgent d'installer les derniers correctifs de sécurité ! Les numéros de versions intégrant le correctif sont précisés dans le bulletin de sécurité de l'éditeur. Cela s'applique à PAN-OS 10.2, 11.0, 11.1 et 11.2.
