VPN : Palo Alto Networks révèle une vulnérabilité critique inédite dans GlobalProtect

Une vulnérabilité critique inédite, ou 0day, dans le logiciel PAN-OS de Palo Alto Networks est en cours d’exploitation.

Palo Alto Networks a publié ce vendredi un avis de sécurité détaillant une vulnérabilité de type RCE, ou Remote Code Execution. Permettant de forcer l’exécution de code arbitraire à distance, elle est référencée CVE-2024-3400 et affecte la fonction de passerelle GlobalProtect du logiciel PAN-OS de l’éditeur pour les pare-feu de nouvelle génération.

Cette vulnérabilité 0day affecte des versions spécifiques du système d’exploitation et « des configurations de fonctionnalités distinctes peuvent permettre à un attaquant non authentifié d’exécuter un code arbitraire avec des privilèges de root sur le pare-feu », indique l’équipementier. Palo Alto Networks explique avoir connaissance « d’un nombre limité d’attaques qui exploitent cette vulnérabilité ».

Cette vulnérabilité a été découverte par le fournisseur de cybersécurité Volexity. Elle a reçu un score CVSS de 10.

Dans un message publié sur X, anciennement Twitter, le président de Volexity, Steven Adair, a déclaré que sa société avait « surpris un acteur malveillant utilisant une RCE sans authentification dans Palo Alto Networks GlobalProtect ». Dans un message de suivi, il a indiqué que plusieurs clients avaient été touchés.

Palo Alto Networks a déclaré que CVE-2024-3400 affecte des versions spécifiques de PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 dans les pare-feu qui ont à la fois la passerelle GlobalProtect et les fonctions de télémétrie des appareils activées. L’équipementier prévoit de déployer les correctifs d’ici le 14 avril.

En attendant, Palo Alto Networks recommande des mesures d’atténuation temporaires. Les clients disposant d’un abonnement à Threat Prevention doivent activer la fonction « Threat ID 95187 » afin de bloquer l’exploitation de cette vulnérabilité 0day. Les clients qui n’ont pas d’abonnement doivent désactiver temporairement la fonction de télémétrie des appareils jusqu’à ce que leurs pare-feu aient été mis à jour.

Palo Alto Networks indique que les clients peuvent vérifier les signes de compromission en ouvrant un dossier sur le portail d’assistance clientèle du fournisseur et en téléchargeant des fichiers d’assistance technique, afin de déterminer si les données de journalisation correspondent aux indicateurs de compromission connus pour l’exploitation de la vulnérabilité.