Des attaquants ont été repérés en train d’exploiter deux vulnérabilités supplémentaires (CVE-2024-9463, CVE-2024-9465) dans l’outil de migration de configuration du pare-feu Expedition de Palo Alto Networks, a confirmé CISA jeudi.
À propos des vulnérabilités (CVE-2024-9463, CVE-2024-9465)
CVE-2024-9463 permet à des attaquants non authentifiés d’exécuter des commandes arbitraires du système d’exploitation comme racine sur les instances Expedition vulnérables, conduisant à la divulgation des noms d’utilisateur, des mots de passe en clair, des configurations des appareils et des clés API des appareils des pare-feu PAN-OS.
CVE-2024-9465 – une vulnérabilité d’injection SQL – permet à des attaquants non authentifiés de récupérer des données de la base de données d’Expedition (hachages de mots de passe, noms d’utilisateur, configurations d’appareils, clés API d’appareil) et de créer et de lire des fichiers arbitraires sur les systèmes Expedition vulnérables.
Les deux vulnérabilités ont été corrigées par Palo Alto Networks début octobre 2024, aux côtés de plusieurs autres failles.
Parmi ceux-ci se trouve CVE-2024-9464, un bug d’injection de commandes authentifié qui pourrait être enchaîné avec CVE-2024-5910 (authentification manquante pour une fonction critique) – comme l’ont démontré les chercheurs d’Horizon3.ai.
CVE-2024-5910, dont un correctif a été fourni par PAN en juillet 2024, est également exploité dans la nature, a déclaré la CISA la semaine dernière. (Que ce soit seul ou en conjonction avec tout autre défaut est actuellement inconnu.)
Ce qu’il faut faire?
CISA ajoutant CVE-2024-9463 et CVE-2024-9465 à son catalogue de vulnérabilités exploitées connues signifie que les agences civiles fédérales américaines doivent y remédier dans un délai de trois semaines.
“Bien que [Binding Operational Directive (BOD) 22-01] ne s’applique qu’à [Federal Civilian Executive Branch] agences, CISA exhorte fortement toutes les organisations à réduire leur exposition aux cyberattaques en donnant la priorité à la correction rapide des vulnérabilités du catalogue dans le cadre de leurs pratiques de gestion des vulnérabilités », a noté l’agence.
Palo Alto Networks conseille aux administrateurs de :
- Mettre à niveau les installations d’Expedition vers la dernière version disponible
- Faire pivoter les noms d’utilisateur, les mots de passe et les clés API d’Expedition
- Rotation des noms d’utilisateur, des mots de passe et des clés API du pare-feu traités par Expedition
- Assurez-vous que l’accès des réseaux à Expedition est limité aux utilisateurs, hôtes ou réseaux autorisés.
- Arrêtez le logiciel s’il n’est pas utilisé
Expedition ne devrait pas être exposé à Internet, et ne l’est généralement pas : Censys a récemment recherché des instances Expedition accessibles et n’en a trouvé que 45.
Les pare-feu PAN attaqués via une faille RCE non spécifiée
La semaine dernière, Palo Alto a exhorté ses clients à configurer et à sécuriser l’accès de manière appropriée aux interfaces de gestion de pare-feu exposées à Internet, après avoir observé une activité de menace exploitant une vulnérabilité d’exécution de commandes à distance non authentifiée contre un nombre limité d’entre elles.
« Nous ne disposons pas de suffisamment d’informations sur les indicateurs de compromission à partager pour le moment. Si l’interface de gestion a été exposée à Internet, nous conseillons au client de surveiller les activités de menace suspectes telles que des modifications de configuration ou des utilisateurs non reconnus », a conseillé la société.