Date de divulgation : 8 novembre (CVE-2024-0012) et 18 novembre 2024 (CVE-2024-9474)
Date d'ajout à CISA KEV : N/A
Le 8 novembre, Palo Alto Networks a publié un avis sur la norme CVE-2024-0012une vulnérabilité critique d'exécution de code à distance (RCE) affectant PAN-OS, le système d'exploitation sous-jacent des pare-feu et des appliances VPN de Palo Alto Networks. Il s'agit d'un bogue de contournement d'authentification qui permet à un attaquant distant non authentifié ayant accès à l'interface web de gestion d'obtenir des privilèges d'administrateur.
Aujourd'hui, 18 novembre, l'éditeur a publié un autre avis concernant une vulnérabilité connexe, mais de moindre gravité, qui affecte également PAN-OS, CVE-2024-9474Cette vulnérabilité est un bogue d'escalade de privilèges authentifiés qui pourrait permettre à des utilisateurs non autorisés d'obtenir des privilèges élevés dans certaines conditions.
Ces deux vulnérabilités peuvent être enchaînées, CVE-2024-0012 fournissant l'accès administratif initial, qui peut ensuite être utilisé pour exploiter CVE-2024-9474 ou effectuer d'autres actions post-exploitation.
Exploitation et IoCs
Au moment de la rédaction du présent document, aucune de ces deux vulnérabilités n'est présente dans le système CISA KEV. l'unité 42 a observé une série limitée d'activités d'exploitation liées à la vulnérabilité CVE-2024-0012. Elle a publié plusieurs indicateurs de compromission, notamment diverses adresses IP d'acteurs de la menace et la charge utile PHP webshell suivante qui a été déposée sur un pare-feu compromis :
3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668
L'unité 42 a également noté que si ces adresses IP ont été identifiées comme tentant de scanner et/ou de se connecter à des interfaces de gestion, nombre d'entre elles sont connues pour acheminer le trafic par proxy/tunnel vers des services VPN anonymes, ce qui peut inclure des activités d'utilisateurs légitimes provenant de ces adresses IP et dirigées vers d'autres destinations.
PAN-OS est largement utilisé dans des secteurs tels que les infrastructures critiques, les services financiers et les agences gouvernementales, ce qui rend cette vulnérabilité particulièrement préoccupante pour toute organisation s'appuyant sur des dispositifs Palo Alto Networks. L'exploitation réussie de cette vulnérabilité pourrait donner aux attaquants un contrôle total sur les systèmes affectés, leur permettant potentiellement de modifier les configurations du réseau, d'accéder à des données sensibles et de faciliter d'autres compromissions du réseau.
Les organisations utilisant les versions 10.2, 11.0, 11.1 et 11.2 de PAN-OS en particulier sont invitées à appliquer immédiatement les correctifs ou à restreindre l'accès conformément à l'avis du fournisseur. ou de restreindre l'accès conformément à l'avis du fournisseur. Les versions 10.2 et ultérieures de PAN-OS ne sont pas concernées, pas plus que Cloud NGFW ou Prisma Access.
| Champ d'application |
Détails |
| CVE-ID |
CVE-2024-0012 - CVSS 9.3 (Critique) attribué par Palo Alto Networks |
CVE-2024-9474 - CVSS 6.9 (Moyen) attribué par Palo Alto Networks |
| Description de la vulnérabilité |
Faille de contournement de l'authentification dans PAN-OS peut permettre l'exécution de code à distance sans authentification. |
Faille d'escalade de privilèges dans PAN-OS permet à un administrateur ayant accès à l'interface web de gestion d'effectuer des actions sur le firewall avec les privilèges root. |
| Date de la divulgation |
8 novembre 2024 |
18 novembre 2024 |
| Actifs touchés |
Logiciel PAN-OS de Palo Alto Networks (qui alimente leurs pare-feu et leurs appareils VPN) |
| Versions de logiciels vulnérables |
PAN-OS 10.2, 11.0, 11.1 et 11.2 |
PAN-OS 10.1, 10.2, 11.0, 11.1, et 11.2 |
| PoC disponible ? |
Non, au moment de la rédaction du présent document |
| Statut d'exploitation |
Activement exploité. Palo Alto a observé des attaques ciblant des interfaces de gestion de pare-feu exposées à l'internet. Dans leur avis, ils notent : "À l'heure actuelle, nous pensons que les dispositifs dont l'accès à l'interface de gestion n'est pas sécurisé conformément à nos directives de déploiement des meilleures pratiques recommandées sont exposés à un risque accru." |
Cette vulnérabilité peut être exploitée après l'utilisation de CVE-2024-0012 pour obtenir des privilèges de root, bien qu'aucune activité de menace spécifique liée à ce scénario n'ait été signalée pour l'instant. |
| Statut du patch |
Correctifs disponibles pour les versions concernées. Voir l'avis de Palo Alto Networks avis de Palo Alto Networks. |
Correctifs disponibles pour les versions concernées. Voir l'avis de Palo Alto Networks avis de Palo Alto Networks. |
Censys Perspective
Le fournisseur a noté que les dispositifs PAN-OS dont les interfaces de gestion sont configurées pour être exposées à l'Internet public présentent le plus grand risque d'exploitation. Censys a identifié 13 324 interfaces de gestion NGFW exposées au public. Une grande partie d'entre elles (34%) sont géolocalisées aux États-Unis. Censys a observé qu'environ 8% des instances exposées sont associées à Amazon (ASN 16509). Il convient de noter que toutes ces instances ne sont pas nécessairement vulnérables, car les versions spécifiques des appareils ne sont pas disponibles.
Carte des interfaces de gestion exposées :
Il est recommandé de mettre à niveau les systèmes concernés vers PAN-OS 10.2 et de limiter l'exposition à l'internet public de l'interface de gestion du pare-feu. Pour identifier toutes les interfaces de gestion Palo Alto exposées sur votre réseau, quelle que soit la version de PAN-OS, les requêtes suivantes Censys peuvent être utilisées :
Censys Requête de recherche :
services.http.response.favicons.md5_hash:{c8c08bbe0b78b27d61002db456c741cc, 3ab22b6f3f0d4271e8d038c05cfbd5c9} and services.http.response.html_title=“Login”
Censys Requête ASM :
(host.services.http.response.favicons.md5_hash:{c8c08bbe0b78b27d61002db456c741cc, 3ab22b6f3f0d4271e8d038c05cfbd5c9} and host.services.http.response.html_title="Login") or (web_entity.instances.http.response.favicons.md5_hash:{c8c08bbe0b78b27d61002db456c741cc, 3ab22b6f3f0d4271e8d038c05cfbd5c9} and web_entity.instances.http.response.html_title="Login")
Références
