ClickCease Attaque de jour zéro de Palo Alto : Exploitation active de la faille de PAN-OS

Table des matières

Rejoignez notre populaire bulletin d'information

Rejoignez 4 500+ professionnels de Linux et de l'Open Source !

2 fois par mois. Pas de spam.

Attaque de jour zéro de Palo Alto : Exploitation active de la faille de PAN-OS

Wajahat Raja

Le 25 avril 2024 - L'équipe d'experts de TuxCare

Palo Alto Networks, société leader dans le domaine de la cybersécurité, a récemment émis un avertissement concernant une vulnérabilité critique dans son logiciel PAN-OS, affectant plus particulièrement ses passerelles GlobalProtect. L'attaque zero-day de attaque zero-day de Palo Alto failleidentifiée comme CVE-2024-3400porte un score de sévérité CVSS maximum de 10.0, reflétant le risque critique qu'elle représente pour les utilisateurs. Elle permet à des attaquants non authentifiés d'exécuter du code arbitraire avec les privilèges de l'administrateur sur le pare-feu, ce qui constitue une menace sérieuse pour les systèmes concernés.

 

Vulnérabilité d'injection de commande - Palo Alto Exploit In The Wild


La principale préoccupation liée à l'attaque zero-day de
attaque zero-day de Palo Alto est un problème d'injection de commande dans la fonction GlobalProtect de PAN-OS. Cette faille pourrait permettre à un attaquant non authentifié de d'exécuter un code arbitraire arbitraire avec les privilèges de root sur le pare-feu, ce qui présente un risque important pour les systèmes concernés.

Selon un avis publié par Palo Alto Networks, la vulnérabilité peut affecter certaines versions de PAN-OS, en fonction de configurations spécifiques. Les versions concernées sont les suivantes :

 

  • Versions de PAN-OS antérieures à 11.1.2-h3
  • Versions de PAN-OS antérieures à 11.0.4-h1
  • PAN-OS versions antérieures à 10.2.9-h1

 

La cybersécurité de cybersécurité est actuellement exploitée dans la nature, et il est donc essentiel que les utilisateurs concernés prennent des mesures immédiates. Si la passerelle GlobalProtect et la télémétrie des appareils sont configurées, le risque d'exploitation est considérablement plus élevé. Il est essentiel que les organisations utilisant les versions concernées appliquent les correctifs dès qu'ils sont disponibles.

 

Détails de l'attaque et de l'exploitation du jour zéro de Palo Alto


La faille de sécurité de
La faille de sécurité de Palo Alto Networks a été identifiée pour la première fois par les chercheurs de Volexity le 10 avril après que des alertes concernant un trafic réseau suspect aient été détectées à partir du pare-feu d'un client. Une enquête plus approfondie a révélé que l'attaquant, identifié sous le nom de UTA0218, exploitait la vulnérabilité depuis le 26 mars.

 

Exploits ciblant les appareils Palo Alto


Au cours de leur enquête, les chercheurs ont découvert que l'attaquant avait exploité le bogue à distance pour créer un shell inversé, lui permettant de télécharger et d'exécuter des outils de post-exploitation, y compris une nouvelle porte dérobée basée sur Python. Cette porte dérobée personnalisée, appelée UPSTYLE, permet aux attaquants d'exécuter des commandes supplémentaires sur l'appareil par le biais de requêtes réseau spécialement conçues.

Le principal objectif de l'attaquant était d'exporter les données de configuration des appareils et de les utiliser pour se déplacer latéralement au sein de l'organisation de la victime. Cette cybermenace vulnérabilité Palo Alto peut avoir de graves conséquences sur la sécurité et l'intégrité du réseau.


Faille de sécurité critique Palo Alto Networks Mesures d'atténuation 


En attendant les correctifs officiels,
Palo Alto Networks recommande de désactiver temporairement la télémétrie des appareils afin d'atténuer le risque. Il est conseillé aux clients de vérifier les interfaces web de leur pare-feu pour y trouver des entrées indiquant si la passerelle GlobalProtect et la télémétrie des appareils sont configurées. Bien qu'il s'agisse d'une solution temporaire, cette mesure peut aider à réduire le risque d'exploitation jusqu'à ce que les correctifs soient prêts.


Recommandations


Le conseiller en sécurité de Palo Alto Networks
y fournit des conseils essentiels sur l'atténuation des risques de cybersécurité. Les utilisateurs touchés par la cyberattaque contre les pare-feu Palo Alto sont vivement encouragés à appliquer les correctifs dès qu'ils sont disponibles afin de sécuriser leurs systèmes contre les attaques potentielles. En attendant, les mesures d'atténuation suggérées peuvent fournir un certain niveau de protection.

En outre, l'agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté cette vulnérabilité à son catalogue de vulnérabilités exploitées connues, soulignant ainsi l'importance de corriger rapidement les systèmes concernés. Les agences fédérales ont jusqu'au 19 avril pour corriger la faille.


Conclusion


En résumé, l'incident critique de cybersécurité de
incident de cybersécurité de Palo Alto Networks représente une menace importante pour les organisations qui utilisent la fonction GlobalProtect de PAN-OS. Il est essentiel que les organisations qui utilisent les versions de PAN-OS touchées appliquent les mesures d'atténuation et les correctifs dès que possible. correctifs dès que possible afin de protéger leurs systèmes contre les attaques.

Il est essentiel de maintenir vos systèmes à jour avec les derniers correctifs de sécurité pour préserver l'intégrité et la sécurité de votre infrastructure réseau. Les organisations doivent rester vigilantes et surveiller tout signe d'exploitation afin de remédier rapidement à tout incident de sécurité.

Les sources de cet article comprennent des articles dans The Hacker News et Decipher.

Résumé
Attaque de jour zéro de Palo Alto : Exploitation active de la faille de PAN-OS
Nom de l'article
Attaque de jour zéro de Palo Alto : Exploitation active de la faille de PAN-OS
Description
Découvrez l'attaque critique zero-day de Palo Alto, son impact sur le logiciel PAN-OS et comment protéger vos systèmes. Obtenez les dernières mises à jour.
Auteur
Nom de l'éditeur
TuxCare
Logo de l'éditeur

Vous cherchez à automatiser la correction des vulnérabilités sans redémarrage du noyau, temps d'arrêt du système ou fenêtres de maintenance programmées ?

Découvrez le Live Patching avec TuxCare

Devenez rédacteur invité de TuxCare

Commencer

Courrier

Rejoindre

4,500

Professionnels de Linux et de l'Open Source
!

S'abonner à
notre lettre d'information