Palo Alto Networks a publié de nouveaux indicateurs de compromission (IoC) un jour après que le fournisseur de sécurité réseau a confirmé qu’une nouvelle vulnérabilité zero-day affectant son interface de gestion de pare-feu PAN-OS avait été activement exploitée.
À cette fin, la société a déclaré avoir observé une activité malveillante provenant d’adresses IP inférieures et ciblant les adresses IP de l’interface Web de gestion PAN-OS accessibles sur Internet –
- 136.144.17[.]*
- 173.239.218[.]251
- 216.73.162[.]*
La société a toutefois averti que ces adresses IP pourraient éventuellement représenter « des VPN tiers avec une activité utilisateur légitime provenant de ces adresses IP vers d’autres destinations ».
L’avis mis à jour de Palo Alto Networks indique que la faille est exploitée pour déployer un shell Web sur des appareils compromis, permettant aux acteurs malveillants d’obtenir un accès à distance persistant.
La vulnérabilité, à laquelle aucun identifiant CVE n’a pas encore été attribué, porte un score CVSS de 9,3, indiquant une gravité critique. Il permet l’exécution de commandes à distance non authentifiées.
Selon l’entreprise, la vulnérabilité ne nécessite aucune interaction ni privilèges de l’utilisateur pour être exploitée, et la complexité de son attaque a été jugée « faible ».
Cela dit, la gravité de la faille devient élevée (score CVSS : 7,5) si l’accès à l’interface de gestion est limité à un pool limité d’adresses IP, auquel cas l’acteur malveillant devra d’abord obtenir un accès privilégié à ces adresses IP.
Le 8 novembre 2024, Palo Alto Networks a commencé à conseiller à ses clients de sécuriser leurs interfaces de gestion de pare-feu au milieu de rapports faisant état d’une faille d’exécution de code à distance (RCE). Il a depuis été confirmé que la mystérieuse vulnérabilité avait été exploitée contre un “nombre limité” d’instances.
Il n’existe actuellement aucun détail sur la façon dont la vulnérabilité a été découverte, les acteurs de la menace derrière l’exploitation et les cibles de ces attaques. Les produits Prisma Access et Cloud NGFW ne sont pas concernés par la faille.
Les correctifs pour cette vulnérabilité n’ont pas encore été publiés, ce qui rend impératif que les utilisateurs prennent des mesures immédiates pour sécuriser l’accès à l’interface de gestion, si ce n’est déjà fait.
L’avis intervient alors que trois failles critiques différentes de l’expédition Palo Alto Networks (CVE-2024-5910, CVE-2024-9463 et CVE-2024-9465) ont été activement exploitées, selon l’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA). ). À ce stade, il n’existe aucune preuve suggérant que les activités sont liées.
(Il s’agit d’une histoire en développement. Veuillez revenir pour plus de mises à jour.)