Palo Alto Networks a averti aujourd’hui ses clients de corriger les vulnérabilités de sécurité (avec un code d’exploitation public) qui peuvent être enchaînées pour permettre aux attaquants de pirater les pare-feu PAN-OS.

Les failles ont été découvertes dans la solution Expedition de Palo Alto Networks, qui permet de migrer les configurations d’autres fournisseurs Checkpoint, Cisco ou pris en charge.

Ils peuvent être exploités pour accéder à des données sensibles, telles que les informations d’identification des utilisateurs, qui peuvent aider à prendre le contrôle des comptes administrateurs du pare-feu.

« De multiples vulnérabilités dans Palo Alto Networks Expedition permettent à un attaquant de lire le contenu de la base de données Expedition et des fichiers arbitraires, ainsi que d’écrire des fichiers arbitraires dans des emplacements de stockage temporaires sur le système Expedition », a déclaré la société. dit dans un avis publié mercredi.

« Combinés, ceux-ci incluent des informations telles que les noms d’utilisateur, les mots de passe en clair, les configurations des appareils et les clés API des appareils des pare-feu PAN-OS. »

Ces bogues sont une combinaison d’injection de commandes, de cross-site scripting (XSS), de stockage en clair d’informations sensibles, d’authentification manquante et de vulnérabilités d’injection SQL :

Exploit de preuve de concept disponible

Zach Hanley, chercheur sur les vulnérabilités d’Horizon3.ai, qui a trouvé et signalé quatre des bogues, a également a publié un rapport d’analyse des causes profondes qui détaille comment il a trouvé trois de ces failles lors de ses recherches sur la vulnérabilité CVE-2024-5910 (divulgué et corrigé en juillet), qui permet aux attaquants de réinitialiser les informations d’identification de l’administrateur de l’application Expedition.

Hanley a également publié un exploit de preuve de concept qui enchaîne la faille de réinitialisation de l’administrateur CVE-2024-5910 avec la vulnérabilité d’injection de commande CVE-2024-9464 pour obtenir l’exécution de commandes arbitraires « non authentifiées » sur les serveurs Expedition vulnérables.

Palo Alto Networks affirme que, pour le moment, il n’existe aucune preuve que les failles de sécurité aient été exploitées lors d’attaques.

« Les correctifs pour tous les problèmes répertoriés sont disponibles dans Expedition 1.2.96 et dans toutes les versions ultérieures d’Expedition. Le fichier en texte clair affecté par CVE-2024-9466 sera automatiquement supprimé lors de la mise à niveau », a ajouté aujourd’hui Palo Alto Networks.

« Tous les noms d’utilisateur, mots de passe et clés API d’Expedition doivent être alternés après la mise à niveau vers la version fixe d’Expedition. Tous les noms d’utilisateur, mots de passe et clés API de pare-feu traités par Expedition doivent être alternés après la mise à jour. »

Les administrateurs qui ne peuvent pas déployer immédiatement les mises à jour de sécurité actuelles doivent restreindre l’accès au réseau Expedition aux utilisateurs, hôtes ou réseaux autorisés.

En avril, la société a commencé à publier des correctifs pour un bug zero-day de gravité maximale qui avait été activement exploité depuis mars par un acteur malveillant soutenu par l’État et suivi sous le nom d’UTA0218 pour les pare-feu PAN-OS de porte dérobée.