Faille Critique PAN-OS : Correctifs Urgents Déployés

Des hotfixes ont été publiés par Palo Alto Networks pour corriger une faille de sécurité de sévérité maximale affectant le logiciel PAN-OS, qui a été exploitée activement. Identifiée sous le code CVE-2024-3400 et notée 10.0 sur l’échelle CVSS, cette vulnérabilité critique permet l’injection de commandes dans la fonctionnalité GlobalProtect. Des attaquants non authentifiés pourraient l’exploiter pour exécuter du code arbitraire avec des privilèges root sur le pare-feu.

Les corrections sont disponibles dans les versions suivantes :

* PAN-OS 10.2.9-h1
* PAN-OS 11.0.4-h1
* PAN-OS 11.1.2-h3

D’autres mises à jour sont attendues prochainement pour d’autres versions couramment déployées.

Cette faille concerne uniquement certains configurations : les pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 équipés de la passerelle GlobalProtect ou du portail GlobalProtect – et avec la télémétrie de l’appareil activée. Les pare-feu Cloud NGFW ne sont pas affectés, mais les versions spécifiques de PAN-OS et les configurations particulières des pare-feu virtuels déployés et gérés dans le cloud par des clients le sont.

Bien que l’origine exacte des cybercriminels exploitant cette faille ne soit pas encore établie, l’Unité 42 de Palo Alto Networks surveille l’activité malveillante sous le nom d’Opération « MidnightEclipse ». Selon Volexity, cette activité, attribuée au cluster UTA0218, exploite la faille depuis le 26 mars 2024 afin d’installer une backdoor Python nommée UPSTYLE, qui permet l’exécution de commandes arbitraires.

L’étendue de l’exploitation reste à déterminer, bien que des activités de reconnaissance ciblant des systèmes vulnérables aient été observées. Les attaques recensées jusqu’à présent ont inclus le déploiement de charges utiles supplémentaires pour créer des coquilles inversées, exfiltrer les données de configuration de PAN-OS, supprimer des fichiers de journalisation et déployer l’outil de tunneling GOST écrit en Golang.

Conseils pour se Protéger

Pour les administrateurs de systèmes affectés, l’action immédiate recommandée est d’appliquer sans délai les correctifs disponibles. En règle générale, maintenez vos systèmes à jour avec les derniers correctifs de sécurité fournis par les fabricants. Ce maintien à jour est essentiel, agissant comme un bouclier numérique contre les menaces émergentes.

Envisagez votre réseau informatique comme une forteresse médiévale et les mises à jour de sécurité comme la meilleure armure disponible pour vos gardes. Ne pas les équiper revient à les laisser à la merci des envahisseurs. Restez constamment armé et prêt à repousser les attaques.