Pare-feu Palo Alto : exploits publics, attaques croissantes, atténuation inefficace

"Alors qu'il semblait initialement possible de protéger les pare-feu du réseau Palo Alto contre les attaques exploitant CVE-2024-3400 en désactivant la télémétrie des appareils, il a maintenant été confirmé que cette atténuation est inefficace.

""La télémétrie des appareils n'a pas besoin d'être activée pour que les pare-feu PAN-OS soient exposés aux attaques liées à cette vulnérabilité"", a noté mardi Palo Alto Networks, et a déclaré être conscient d'un ""nombre croissant d'attaques qui exploitent l'exploitation de cette vulnérabilité"". vulnérabilité.""

Nouvelles découvertes

Vendredi dernier, Palo Alto Networks a mis en garde contre CVE-2024-3400 - une vulnérabilité critique d'injection de commandes Zero Day dans ses pare-feu exécutant PAN-OS v10.2, 11.0 et 11.1 avec les configurations pour la passerelle GlobalProtect et la télémétrie des appareils activées - étant exploité par des acteurs malveillants disposant de ressources suffisantes pour installer une porte dérobée et utiliser l'accès obtenu pour se déplacer latéralement dans les réseaux des organisations cibles.

À l'époque, la société avait déclaré que jusqu'à ce que les correctifs soient prêts, les clients pouvaient atténuer la menace d'exploitation en activant des signatures de menaces spécifiques et en désactivant la télémétrie des appareils.

Les correctifs ont commencé à être publiés dimanche, mais Palo Alto Networks a confirmé mardi que ces dernières mesures d'atténuation n'étaient plus efficaces.

Mercredi, la société a publié de nouvelles signatures de menaces et partagé une commande CLI que les clients peuvent utiliser pour identifier les indicateurs d'activité d'exploitation sur l'appareil.

Ils ont également réitéré que les pare-feu dotés de ces versions PAN-OS spécifiques sont vulnérables s'ils sont configurés avec la passerelle GlobalProtect ou le portail GlobalProtect (ou les deux).

Les attaques exploitant CVE-2024-3400 se multiplient

Mardi, WatchTowr Labs a publié son analyse de la vulnérabilité et un exploit de preuve de concept, et un exploit activement exploité a été partagé par Justin Elze, CTO de TrustedSec.

Greynoise a commencé à voir des tentatives d'exploitation.

Les clients de Palo Alto Network exécutant des pare-feu vulnérables doivent mettre en œuvre les correctifs dès que possible et vérifier les indicateurs de compromission.

« Si vous découvrez que votre pare-feu Palo Alto Network GlobalProtect est compromis, il est important de prendre des mesures immédiates. Assurez-vous de ne pas essuyer ou reconstruire l'appareil. La collecte de journaux, la génération d'un fichier d'assistance technique et la préservation des artefacts médico-légaux (mémoire et disque) de l'appareil sont cruciales », ont conseillé les chercheurs de Volexity.

Mais même si vous ne trouvez aucun indicateur de compromission, c'est une bonne idée d'effectuer ces actions avant d'appliquer le correctif."

Veuillez noter que la version française est assistée par Ai, des erreurs mineures peuvent donc exister.

Auteur

AiUTOMATING PEOPLE, ABN ASIA a été fondée par des personnes ayant des racines profondes dans le milieu académique, avec une expérience professionnelle aux États-Unis, aux Pays-Bas, en Hongrie, au Japon, en Corée du Sud, à Singapour et au Vietnam. ABN ASIA est l'endroit où l'académie et la technologie rencontrent l'opportunité. Avec nos solutions de pointe et nos services de développement logiciel compétents, nous aidons les entreprises à se développer et à s'imposer sur la scène mondiale. Notre engagement : Plus vite. Mieux. Plus fiable. Dans la plupart des cas : moins cher également.

N'hésitez pas à nous contacter chaque fois que vous avez besoin de services informatiques, de conseils en matière de numérique, de solutions logicielles prêtes à l'emploi, ou si vous souhaitez nous envoyer des demandes de propositions (RFP). Vous pouvez nous contacter à l'adresse [email protected]. Nous sommes prêts à vous aider avec tous vos besoins technologiques.

© ABN ASIA