Skip to content
Nouveau rapport : Obtenez votre exemplaire du rapport 2024 sur l'état de l'internet ! | Télécharger aujourd'hui
Avis

12 avril 2024 : Palo Alto Networks GlobalProtect PAN-OS vulnérabilité d'injection de commande CVE-2024-3400

Mise à jour le 15 avril 2024 :

Palo Alto Networks a commencé à déployer des correctifs pour remédier à cette vulnérabilité. Les correctifs disponibles à ce jour concernent les versions PAN-OS 10.2.9-h1, 11.0.4-h1 et 11.1.2-h3, et d'autres versions sont prévues pour les versions PAN-OS plus récentes.

En outre, des chercheurs ont découvert une exploitation réussie de cette vulnérabilité remontant au 26 mars 2024 pour déployer cette porte dérobée.

Impact global (au 15 avril 2024)

*Note* - le nombre d'actifs suivant est basé sur l'identification des produits Palo Alto Networks GlobalProtect en général et ne prend pas en compte les numéros de version spécifiques affectés spécifiés dans la vulnérabilité. Voir ci-dessous la méthodologie d'identification.
- 143 000+ dispositifs GlobalProtect en contact avec le public dans le monde entier

Principaux pays touchés :
1. ÉTATS-UNIS
2. Allemagne
3. Inde
4. ROYAUME-UNI
5. L'Australie


Résumé

Censys sait que le 12 avril 2024, Palo Alto Networks (PAN) a publié CVE-2024-3400 concernant une vulnérabilité par injection de commande dans la fonction GlobalProtect de son logiciel PAN-OS. PAN a déclaré être "au courant d'un nombre limité d'attaques qui exploitent cette vulnérabilité" et CISA l'a ajoutée à sa base de données Known Exploited Vulnerability (KEV).
Description de l'actif
GlobalProtect est un outil d'accès à distance qui a été décrit comme un VPN et un pare-feu par le vendeur.
PAN-OS est la désignation du système d'exploitation de Palo Alto Network qui est déployé dans ses produits.

Impact

Conséquences potentielles d'une exploitation réussie
Selon PAN, la vulnérabilité "peut permettre à un attaquant non authentifié d'exécuter un code arbitraire avec les privilèges de root sur le pare-feu". Ce niveau de compromission permettrait essentiellement à un attaquant de prendre le contrôle total des actifs d'une victime. Cela pourrait s'avérer particulièrement dévastateur pour une organisation, puisque GlobalProtect est utilisé comme outil d'accès à distance sécurisé, ce qui signifie qu'un attaquant réussi pourrait être en mesure de fermer l'accès à des utilisateurs validés et/ou d'accorder l'accès ou des portes dérobées à des hôtes malveillants associés.
En outre, les produits PAN sont généralement des outils d'entreprise ; bien que cela dépende largement de la mise en œuvre du propriétaire et de la segmentation du réseau, une compromission efficace pourrait fournir à un attaquant des capacités de mouvement latéral.
Étant donné que cette vulnérabilité de niveau critique est également exploitée dans la nature, Censys recommande aux clients disposant de produits dépendant de PAN-OS, tels que GlobalProtect, d'accorder une priorité absolue à la remédiation de ces actifs.

Actifs touchés

Selon PAN, ce problème n'affecte que les équipements utilisant PAN-OS 10.2 (avant 0.2.9-h1), PAN-OS 11.0 (avant 11.0.4-h1), et PAN-OS 11.1 (avant 11.1.2-h3).
CensysL'équipe de réponse rapide a pu identifier les dispositifs GlobalProtect de Palo Alto Networks. En raison de la nature du produit, des informations spécifiques sur la version n'étaient pas disponibles et les personnes susceptibles d'être affectées devront vérifier les informations sur la version après avoir localisé les équipements GlobalProtect à l'aide des requêtes fournies sur Censys .

Censys Requête ASM pour les biens exposés.
Cette requête identifiera les actifs de PAN GlobalProtect exposés à l'internet public. Pour déterminer les versions spécifiques qui peuvent correspondre aux versions affectées par la vulnérabilité mentionnée ci-dessus, les propriétaires devront enquêter sur leurs biens, une fois identifiés.

Censys Requête de recherche
services.software : (fournisseur : "Palo Alto Networks" et produit : "GlobalProtect")
Cette requête identifiera les actifs PAN GlobalProtect exposés à l'internet public. Pour déterminer les versions spécifiques susceptibles de correspondre aux versions affectées par la vulnérabilité susmentionnée, les propriétaires devront enquêter sur leurs biens, une fois qu'ils auront été identifiés.

Recommandations pour l’assainissement

de Palo Alto Networks indiquent que les correctifs pour les versions concernées "sont en cours de développement et devraient être publiés d'ici le 14 avril 2024". Mise à jour le 15 avril 2024 : les correctifs 10.2.9-h1, 11.0.4-h1 et 11.1.2-h3 sont désormais disponibles. Les correctifs pour les versions plus récentes sont en cours. Des options de remédiation spécifiques et propriétaires sont disponibles ici sous "Workarounds and Mitigations". Bien que PAN ne le dise pas explicitement, Censys recommande d'appliquer ces correctifs dès qu'ils sont publiés.

Si vous avez besoin d'aide pour identifier positivement ces actifs, n'hésitez pas à nous le faire savoir.

Solutions de gestion de la surface d'attaque
En savoir plus