Alerte - Vulnérabilité critique touchant la passerelle GlobalProtect de PAN-OS - Mise à jour 2

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d’atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 12 avril 2024, Palo Alto Networks a publié un bulletin de sécurité concernant une vulnérabilité critique (CVE-2024-3400) touchant la passerelle GlobalProtect dans les versions de PAN-OS 11.1, 11.0 et 10.2^{ote en bas de page 1}. En réponse à cette information, le Centre pour la cybersécurité a publié le bulletin AV24-198 le 12 avril^{Note de bas de page 2}.

L’exploitation de la vulnérabilité CVE-2024-3400 pourrait permettre à des auteures et auteurs de menace non authentifiés d’exécuter du code arbitraire au moyen de privilèges racines sur le pare-feu^{Note de bas de page 1}. Palo Alto Networks est au fait d’une exploitation limitée de la vulnérabilité CVE-2024-3400.

Cette vulnérabilité touche les pare-feu des versions PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 pour lesquelles les configurations de la passerelle GlobalProtect et de télémétrie sur les appareils sont activées.

• PAN-OS 11.1 – versions antérieures à la version 11.1.2.- h3
• PAN-OS  11.0 – versions antérieures à la version 11.0.4.- h1
• PAN-OS  10.2 – versions antérieures à la version 10.2.9.- h1

Des correctifs visant cette vulnérabilité sont en en train d’être conçus et devraient être publiés d’ici le 14 avril^{Note de bas de page 1}.

Les appliances Panorama et NGFW dans l’infonuagique, ainsi que Prisma Access, ne sont pas touchées.

Mise à Jour 1

Le 14 avril 2024, Palo Alto Networks a publié des correctifs pour les versions PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3^{ote de bas de page 6}. Des correctifs s’adressant à d’autres versions seront offerts au cours des prochains jours.

Mise à Jour 2

Le 17 avril 2024, Palo Alto Networks a mis à jour son bulletin de sécurité^{Note de bas de page 1} de manière à indiquer que la désactivation de la télémétrie sur les dispositifs ne permettait PAS de protéger contre l’exploitation des pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 configurés avec la passerelle GlobalProtect et/ou le portail GlobalProtect.

Le portail GlobalProtect ayant désormais été ajouté comme configuration vulnérable, Palo Alto Networks ne recommande plus ce produit comme mesure d’atténuation et conseille aux clients touchés d’appliquer les correctifs.

Palo Alto Networks a également fourni des ID de menace Threat Prevention additionnels (ID 95189 et 95191). Ceux-ci sont disponibles dans la version 8836-8695 du contenu Applications and Threat et dans les versions ultérieures. Les clients disposant d’un abonnement Threat Prevention peuvent tirer avantage des nouvelles signatures de détection et de prévention.

Mesures recommandées

Mise à jour 17 avril 2024

Les clients peuvent déterminer si une passerelle ou un portail GlobalProtect a été configuré en vérifiant les entrées dans l’interface Web de leur pare-feu (Network > GlobalProtect > ou Network > GlobalProtection > Portals).

Pour tenir compte de la mise à jour que Palo Alto Networks a apportée à son bulletin, le Centre pour la cybersécurité a supprimé la recommandation préconisant de désactiver la télémétrie comme stratégie d’atténuation.

Fin de la mise à jour

Le Centre pour la cybersécurité recommande fortement aux organisations d’installer les correctifs aux pare-feu touchés dès qu’ils seront rendus disponibles.

Les clients ayant un abonnement Threat Prevention peuvent bloquer les attaques découlant de cette vulnérabilité en activant l’ID 95187 (déployé dans la version 8833-8682 du contenu Applications and Threats).

En plus de cette activation, les clients doivent s’assurer que la protection de vulnérabilité s’applique à leur interface GlobalProtect afin d’empêcher l’exploitation de cette vulnérabilité sur leurs dispositifs^{Note de bas de page 1}.

S’il n’est pas possible d’appliquer la mesure d’atténuation dans Threat Prevention, il est possible d’atténuer les répercussions de cette vulnérabilité en désactivant temporairement la télémétrie sur les appareils jusqu’à que les dispositifs soient mis à niveau avec une version corrigée de PAN-OS. Une fois la mise à niveau effectuée, la télémétrie sur les appareils doit être réactivée^{Note de bas de page 1}.

Le Centre pour la cybersécurité recommande aux organisations de consulter l’information disponible de sources ouvertes pour en savoir plus et connaître les indicateurs de compromission^{Note de bas de page3Note de bas de page 4}.

Les organisations devraient également consulter et mettre en œuvre les 10 mesures de sécurité des TI^{Note de bas de page 5} du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

• l’intégration, la surveillance et la défense des passerelles Internet;
• l’application de correctifs aux applications et aux systèmes d’exploitation;
• isoler les applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, ils sont invités à le signaler par l’entremise de Mon cyberportail, ou par courriel à contact@cyber.gc.ca.

Rapports de partenaires

ACSC - OS Command Injection Vulnerability in GlobalProtect Gateway (en anglais seulement)

NCSC-NZ - Palo Alto Command Injection Vulnerability in PAN-OS GlobalProtect (en anglais seulement)