+- TISI (https://www.tisi-fr.com/board)
+-- Forum : Gɛɛk Zønɛ (https://www.tisi-fr.com/board/forumdisplay.php?fid=3)
+--- Forum : Sécurité (https://www.tisi-fr.com/board/forumdisplay.php?fid=7)
+--- Sujet : Palo Alto Networks a été victime d'attaque RCE (/showthread.php?tid=4717)
Palo Alto Networks a été victime d'attaque RCE - Omnous_Luminae - 15-11-2024
Palo Alto Networks avertit qu’une vulnérabilité critique de type zero-day affectant les interfaces de gestion des firewalls nouvelle génération (NGFW), actuellement identifiée sous le nom PAN-SA-2024-0015, est activement exploitée dans le cadre d’attaques.
![[Image: cisa-warns-active-attacks-on-critical-pa...-26768.jpg]](https://130e178e8f8ba617604b-8aedd782b7d22cfe0d1146da69a52436.ssl.cf1.rackcdn.com/cisa-warns-active-attacks-on-critical-palo-alto-exploit-image_large-5-a-26768.jpg)
Cette faille a été initialement divulguée le 8 novembre 2024, avec une mise en garde de Palo Alto Networks demandant aux clients de restreindre l’accès à leurs firewalls en raison d’une vulnérabilité potentielle d’exécution de code à distance (RCE).
À l’époque, aucun signe d’exploitation n’avait été détecté. Cependant, une semaine plus tard, la situation a changé.
- "Palo Alto Networks a observé une activité malveillante exploitant une vulnérabilité d’exécution de commandes à distance non authentifiée sur un nombre limité d’interfaces de gestion de firewalls exposées à Internet," avertit une mise à jour sur la page d'avis de sécurité.
> "Nous pensons que les appareils dont l’accès à l’interface de gestion n’est pas sécurisé conformément à nos directives de déploiement recommandées sont plus à risque," ajoute l’entreprise.
Détails sur la vulnérabilité
La faille, notée 9,3/10 sur l’échelle CVSS v4.0 (critique), est exploitable à distance, ne nécessite aucune authentification ni interaction de l’utilisateur.
Une fois qu’une interface exposée à Internet est détectée, un attaquant peut envoyer une requête spécialement conçue pour prendre le contrôle non autorisé du firewall, ce qui pourrait lui permettre de :
- Modifier les règles de sécurité ;
- Rediriger ou intercepter le trafic réseau ;
- Désactiver les protections de sécurité.
Mesures de mitigation recommandées
Bien que l’entreprise ne dispose pas encore d’informations suffisantes pour fournir une liste d’indicateurs de compromission (IoC), elle recommande les mesures suivantes pour atténuer les risques :
1. Configurer l’accès à l’interface de gestion du firewall pour qu’elle ne soit accessible qu’à partir d’adresses IP internes de confiance.
2. Bloquer tout accès Internet à l’interface de gestion.
3. Placer l’interface de gestion derrière un réseau sécurisé ou un VPN afin de garantir un accès contrôlé et authentifié.
4. Revoir et appliquer les directives de sécurité disponibles [ici](https://www.paloaltonetworks.com).
État actuel et statistiques
Malgré la découverte de la vulnérabilité il y a une semaine, Palo Alto Networks n’a pas encore publié de correctifs pour les clients concernés.
-"Pour le moment, sécuriser l’accès à l’interface de gestion est la meilleure action recommandée," déclare Palo Alto Networks.
La plateforme de surveillance Shadowserver Foundation a signalé plus tôt dans la journée qu’environ 8 700 interfaces exposées ont été détectées.
Le chercheur en cybersécurité Yutaka Sejiyama, après avoir effectué des scans via Shodan, a trouvé 11 180 adresses IP associées à l’interface de gestion Palo Alto exposées en ligne.
Selon ses recherches, la majorité des appareils sont situés aux États-Unis, suivis par l’Inde, le Mexique, la Thaïlande et l’Indonésie.
![[Image: shodan-palo-alto.jpg]](https://www.bleepstatic.com/images/news/security/vulnerabilities/p/palo-alto-networks/PAN-SA-2024-0015/shodan-palo-alto.jpg)
Vérification et suivi
Pour vérifier si les mitigations ont été appliquées correctement, accédez à la section Assets du portail d’assistance client de Palo Alto Networks. Recherchez les appareils marqués PAN-SA-2025-0015.
- Si aucun appareil ne figure dans la liste, cela signifie que vos interfaces de gestion exposées à Internet n’ont pas été détectées.
- Si des appareils sont listés, appliquez les étapes mentionnées pour sécuriser ces dispositifs.
Sources :
https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-critical-rce-zero-day-exploited-in-attacks/
https://www.securityweek.com/palo-alto-networks-addresses-remote-code-execution-vulnerability-claims/
https://security.paloaltonetworks.com/PAN-SA-2024-0015
https://thehackernews.com/2024/11/palo-alto-advises-securing-pan-os.html
RE: Palo Alto Networks a été victime d'attaque RCE - EnZ0 - 15-11-2024
Cette situation illustre parfaitement l'importance de la sécurisation des équipements réseau et la gestion des vulnérabilités, des compétences essentielles pour de futurs administrateurs systèmes et réseaux. Très intéressant de voir comment une vulnérabilité peut rapidement devenir critique quand elle touche un équipement aussi sensible qu'un firewall.
Ce qui est particulièrement préoccupant ici, c'est le passage d'une simple "possibilité" d'exploitation à une exploitation active en seulement une semaine.
L'aspect le plus inquiétant est que cette faille permet une exécution de code à distance sans authentification. Pour ceux qui travaillent avec des PAN-OS, il est crucial de vérifier immédiatement la configuration de l'interface de gestion. D'ailleurs, les scans montrent qu'environ 11 000 interfaces sont encore exposées, ce qui est alarmant pour des équipements aussi critiques.
Ce qui est le plus instructif dans cette situation, c'est la réaction de Palo Alto Networks. Plutôt que d'attendre un patch, ils recommandent des mesures de mitigation immédiates comme le placement de l'interface derrière un VPN ou la restriction aux IPs internes. C'est un excellent exemple de gestion de crise en cybersécurité.
Cette situation nous rappelle l'importance cruciale des bonnes pratiques de base en sécurité. Même les meilleurs équipements de sécurité peuvent devenir vulnérables s'ils ne sont pas correctement configurés...
RE: Palo Alto Networks a été victime d'attaque RCE - Omnous_Luminae - 18-11-2024
(15-11-2024, 16:01)EnZ0 a écrit : Cette situation illustre parfaitement l'importance de la sécurisation des équipements réseau et la gestion des vulnérabilités, des compétences essentielles pour de futurs administrateurs systèmes et réseaux. Très intéressant de voir comment une vulnérabilité peut rapidement devenir critique quand elle touche un équipement aussi sensible qu'un firewall.
Ce qui est particulièrement préoccupant ici, c'est le passage d'une simple "possibilité" d'exploitation à une exploitation active en seulement une semaine.
L'aspect le plus inquiétant est que cette faille permet une exécution de code à distance sans authentification. Pour ceux qui travaillent avec des PAN-OS, il est crucial de vérifier immédiatement la configuration de l'interface de gestion. D'ailleurs, les scans montrent qu'environ 11 000 interfaces sont encore exposées, ce qui est alarmant pour des équipements aussi critiques.
Ce qui est le plus instructif dans cette situation, c'est la réaction de Palo Alto Networks. Plutôt que d'attendre un patch, ils recommandent des mesures de mitigation immédiates comme le placement de l'interface derrière un VPN ou la restriction aux IPs internes. C'est un excellent exemple de gestion de crise en cybersécurité.
Cette situation nous rappelle l'importance cruciale des bonnes pratiques de base en sécurité. Même les meilleurs équipements de sécurité peuvent devenir vulnérables s'ils ne sont pas correctement configurés...
Effectivement même si PaloAlto Networks ce dit comme un leader de la cybersécurité dans le monde, cet exemple prouve que toutes entreprise, aussi bonne qu'elle soit, peut-être une victime d'attaque. Cependant, la réaction a été très rapide et efficace.