Palo Alto Networks avertit qu’une vulnérabilité critique de type zero-day affectant les interfaces de gestion des firewalls nouvelle génération (NGFW), actuellement identifiée sous le nom PAN-SA-2024-0015, est activement exploitée dans le cadre d’attaques.
![[Image: cisa-warns-active-attacks-on-critical-pa...-26768.jpg]](https://130e178e8f8ba617604b-8aedd782b7d22cfe0d1146da69a52436.ssl.cf1.rackcdn.com/cisa-warns-active-attacks-on-critical-palo-alto-exploit-image_large-5-a-26768.jpg)
Cette faille a été initialement divulguée le 8 novembre 2024, avec une mise en garde de Palo Alto Networks demandant aux clients de restreindre l’accès à leurs firewalls en raison d’une vulnérabilité potentielle d’exécution de code à distance (RCE).
À l’époque, aucun signe d’exploitation n’avait été détecté. Cependant, une semaine plus tard, la situation a changé.
- "Palo Alto Networks a observé une activité malveillante exploitant une vulnérabilité d’exécution de commandes à distance non authentifiée sur un nombre limité d’interfaces de gestion de firewalls exposées à Internet," avertit une mise à jour sur la page d'avis de sécurité.
> "Nous pensons que les appareils dont l’accès à l’interface de gestion n’est pas sécurisé conformément à nos directives de déploiement recommandées sont plus à risque," ajoute l’entreprise.
Détails sur la vulnérabilité
La faille, notée 9,3/10 sur l’échelle CVSS v4.0 (critique), est exploitable à distance, ne nécessite aucune authentification ni interaction de l’utilisateur.
Une fois qu’une interface exposée à Internet est détectée, un attaquant peut envoyer une requête spécialement conçue pour prendre le contrôle non autorisé du firewall, ce qui pourrait lui permettre de :
- Modifier les règles de sécurité ;
- Rediriger ou intercepter le trafic réseau ;
- Désactiver les protections de sécurité.
Mesures de mitigation recommandées
Bien que l’entreprise ne dispose pas encore d’informations suffisantes pour fournir une liste d’indicateurs de compromission (IoC), elle recommande les mesures suivantes pour atténuer les risques :
1. Configurer l’accès à l’interface de gestion du firewall pour qu’elle ne soit accessible qu’à partir d’adresses IP internes de confiance.
2. Bloquer tout accès Internet à l’interface de gestion.
3. Placer l’interface de gestion derrière un réseau sécurisé ou un VPN afin de garantir un accès contrôlé et authentifié.
4. Revoir et appliquer les directives de sécurité disponibles [ici](https://www.paloaltonetworks.com).
État actuel et statistiques
Malgré la découverte de la vulnérabilité il y a une semaine, Palo Alto Networks n’a pas encore publié de correctifs pour les clients concernés.
-"Pour le moment, sécuriser l’accès à l’interface de gestion est la meilleure action recommandée," déclare Palo Alto Networks.
La plateforme de surveillance Shadowserver Foundation a signalé plus tôt dans la journée qu’environ 8 700 interfaces exposées ont été détectées.
Le chercheur en cybersécurité Yutaka Sejiyama, après avoir effectué des scans via Shodan, a trouvé 11 180 adresses IP associées à l’interface de gestion Palo Alto exposées en ligne.
Selon ses recherches, la majorité des appareils sont situés aux États-Unis, suivis par l’Inde, le Mexique, la Thaïlande et l’Indonésie.
![[Image: shodan-palo-alto.jpg]](https://www.bleepstatic.com/images/news/security/vulnerabilities/p/palo-alto-networks/PAN-SA-2024-0015/shodan-palo-alto.jpg)
Vérification et suivi
Pour vérifier si les mitigations ont été appliquées correctement, accédez à la section Assets du portail d’assistance client de Palo Alto Networks. Recherchez les appareils marqués PAN-SA-2025-0015.
- Si aucun appareil ne figure dans la liste, cela signifie que vos interfaces de gestion exposées à Internet n’ont pas été détectées.
- Si des appareils sont listés, appliquez les étapes mentionnées pour sécuriser ces dispositifs.
Sources :
https://www.bleepingcomputer.com/news/se...n-attacks/
https://www.securityweek.com/palo-alto-n...ty-claims/
https://security.paloaltonetworks.com/PAN-SA-2024-0015
https://thehackernews.com/2024/11/palo-a...an-os.html
Cette faille a été initialement divulguée le 8 novembre 2024, avec une mise en garde de Palo Alto Networks demandant aux clients de restreindre l’accès à leurs firewalls en raison d’une vulnérabilité potentielle d’exécution de code à distance (RCE).
À l’époque, aucun signe d’exploitation n’avait été détecté. Cependant, une semaine plus tard, la situation a changé.
- "Palo Alto Networks a observé une activité malveillante exploitant une vulnérabilité d’exécution de commandes à distance non authentifiée sur un nombre limité d’interfaces de gestion de firewalls exposées à Internet," avertit une mise à jour sur la page d'avis de sécurité.
> "Nous pensons que les appareils dont l’accès à l’interface de gestion n’est pas sécurisé conformément à nos directives de déploiement recommandées sont plus à risque," ajoute l’entreprise.
Détails sur la vulnérabilité
La faille, notée 9,3/10 sur l’échelle CVSS v4.0 (critique), est exploitable à distance, ne nécessite aucune authentification ni interaction de l’utilisateur.
Une fois qu’une interface exposée à Internet est détectée, un attaquant peut envoyer une requête spécialement conçue pour prendre le contrôle non autorisé du firewall, ce qui pourrait lui permettre de :
- Modifier les règles de sécurité ;
- Rediriger ou intercepter le trafic réseau ;
- Désactiver les protections de sécurité.
Mesures de mitigation recommandées
Bien que l’entreprise ne dispose pas encore d’informations suffisantes pour fournir une liste d’indicateurs de compromission (IoC), elle recommande les mesures suivantes pour atténuer les risques :
1. Configurer l’accès à l’interface de gestion du firewall pour qu’elle ne soit accessible qu’à partir d’adresses IP internes de confiance.
2. Bloquer tout accès Internet à l’interface de gestion.
3. Placer l’interface de gestion derrière un réseau sécurisé ou un VPN afin de garantir un accès contrôlé et authentifié.
4. Revoir et appliquer les directives de sécurité disponibles [ici](https://www.paloaltonetworks.com).
État actuel et statistiques
Malgré la découverte de la vulnérabilité il y a une semaine, Palo Alto Networks n’a pas encore publié de correctifs pour les clients concernés.
-"Pour le moment, sécuriser l’accès à l’interface de gestion est la meilleure action recommandée," déclare Palo Alto Networks.
La plateforme de surveillance Shadowserver Foundation a signalé plus tôt dans la journée qu’environ 8 700 interfaces exposées ont été détectées.
Le chercheur en cybersécurité Yutaka Sejiyama, après avoir effectué des scans via Shodan, a trouvé 11 180 adresses IP associées à l’interface de gestion Palo Alto exposées en ligne.
Selon ses recherches, la majorité des appareils sont situés aux États-Unis, suivis par l’Inde, le Mexique, la Thaïlande et l’Indonésie.
Vérification et suivi
Pour vérifier si les mitigations ont été appliquées correctement, accédez à la section Assets du portail d’assistance client de Palo Alto Networks. Recherchez les appareils marqués PAN-SA-2025-0015.
- Si aucun appareil ne figure dans la liste, cela signifie que vos interfaces de gestion exposées à Internet n’ont pas été détectées.
- Si des appareils sont listés, appliquez les étapes mentionnées pour sécuriser ces dispositifs.
Sources :
https://www.bleepingcomputer.com/news/se...n-attacks/
https://www.securityweek.com/palo-alto-n...ty-claims/
https://security.paloaltonetworks.com/PAN-SA-2024-0015
https://thehackernews.com/2024/11/palo-a...an-os.html
![[-]](https://www.tisi-fr.com/board/images/collapse.png)
