Académique Documents
Professionnel Documents
Culture Documents
Networks
Des chercheurs ont mis au point un exploit permettant d'obtenir l'exécution de code
à distance (RCE) via une vulnérabilité dans une appliance de sécurité de Palo Alto
Networks (PAN), laissant potentiellement 10 000 pare-feu vulnérables avec leurs
produits exposés à l'Internet.
La faille, connue sous le nom de CVE 2021-3064 et ayant un score de gravité CVSS
9,8 sur 10, se trouve dans le pare-feu GlobalProtect de PAN. Elle permet un RCE non
authentifié sur plusieurs versions de PAN-OS 8.1 antérieures à 8.1.17, sur les pare-
feu physiques et virtuels.
Les chercheurs de Randori ont déclaré dans leur blog que si un attaquant réussit à
exploiter cette faiblesse, il peut obtenir un shell sur le système ciblé, accéder à des
données de configuration sensibles, extraire des informations d'identification et plus
encore.
"Une fois qu'un attaquant a le contrôle du pare-feu, il aura une visibilité sur le réseau
interne et pourra procéder à des déplacements latéraux."
Pour exploiter le bug, un attaquant a besoin d'un accès réseau au dispositif sur le
port de service GlobalProtect (port 443 par défaut).
"Comme le produit affecté est un portail VPN, ce port est souvent accessible sur
Internet", ont souligné les chercheurs.
Randori a déclaré que le bug affecte les pare-feu exécutant la série 8.1 (versions <
8.1.17) de PAN-OS avec GlobalProtect activé. L'application de correctifs dès que
possible est bien sûr la première recommandation, mais M. Randori a proposé ces
options d'atténuation si cela n'est pas possible :
Activez les signatures pour les Unique Threat IDs 91820 et 91855 sur le trafic
destiné aux interfaces du portail et de la passerelle GlobalProtect pour bloquer
les attaques contre cette vulnérabilité ;