Sélection de la langue

Government of Canada / Gouvernement du Canada

Alerte - Protéger les interfaces de gestion Palo Alto contre l’exploitation - Mise à jour 1

De : Centre canadien pour la cybersécurité

Numéro : AL24-011
Mise à jour : 19 novembre 2024
Date : 15 novembre 2024

Auditoire

La présente alerte s'adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d'information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection et d'atténuation. Le Centre canadien pour la cybersécurité (ou Centre pour la cybersécurité) est en mesure d'offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Mise à jour 1

Le 18 novembre 2024, Palo Alto Networks (PAN) a mis à jour un bulletin PAN-SA-2024-0015 pour ajouter plus de détails sur les produits touchés. Palo Alto Networks a aussi publié la vulnérabilité CVE-2024-0012 PAN-OS pour identifier un contournement de l’authentification dans l’interface de gestion Web Note de bas de page 1. De plus, l’entreprise a publié la vulnérabilité CVE-2024-9474 PAN-OS liée à une vulnérabilité d’élévation de privilège (PE pour Privilege Elevation) dans l’interface de gestion WebNote de bas de page 2.

Le Centre pour la cybersécurité a inclus des détails sur les produits touchés dans la section Mesures recommandées ci-dessous.

La CISA a ajouté les vulnérabilités CVE-2024-0012 et CVE-2024-9474 à leur catalogue de vulnérabilités et d’expositions courantes (KEV pour Known Exploited Vulnerabilities) à la même dateNote de bas de page 4.

Détails

Le 8 novembre 2024, Palo Alto Networks (PAN) a publié un bulletin (PAN-SA-2024-0015) concernant un signalement d'exploitation faisant l'objet d'une enquête par le fournisseur. Le 14 novembre 2024, PAN a mis à jour son avis de sécurité pour confirmer l'observation d'une activité malveillante ciblant un nombre limité d'interfaces de gestion de pare-feu PAN exposées à InternetNote de bas de page 5.

Le fournisseur confirme dans son bulletin mis à jour que des auteures ou auteurs de menace auraient exploité une vulnérabilité liée à l'exécution de commandes à distance (RCE pour Remote Control Execution) jusqu'ici non révélée et non authentifiée. Il convient de répéter qu'il s'agit d'une exploitation active menée par des auteures et auteurs de menace.

Le Centre pour la cybersécurité note que le fournisseur a aussi mis à jour le bulletin PAN-SA-2024-0010 (« Multiple Vulnerabilities in Expedition Lead to Exposure of Firewall Credentials »)Note de bas de page 6Note de bas de page 7. Le bulletin PAN stipule expressément que plusieurs vulnérabilités dans l'outil Expedition de Palo Alto Networks ont mené à l'exposition de justificatifs d'identité du pare-feu.

Mesures recommandées

Mise à jour 1 - 19 novembre 2024

Le Centre pour la cybersécurité recommande fortement aux organisations d’appliquer des correctifs aux dispositifs touchés afin de remédier à ces vulnérabilités. Consultez le guide de déploiement des « pratiques exemplaires » PAN pour assurer une configuration sécuritaire des dispositifs PAN .Note de bas de page 3

  • Version : Cloud NGFW
    • Touchés : aucun
    • Non touchés : tous
  • Version : PAN-OS 11.2
    • Touchés : < 11.2.4-h1
    • Non touchés : >= 11.2.4-h1
  • Version : PAN-OS 11.1
    • Touchés : < 11.1.5-h1
    • Non touchés : >= 11.1.5-h1
  • Version : PAN-OS 11.0
    • Touchés : < 11.0.6-h1
    • Non touchés : >= 11.0.6-h1
  • Version : PAN-OS 10.2
    • Touchés : < 10.2.12-h1
    • Non touchés : >= 10.2.12-h1
  • Version : PAN-OS 10.1
    • Touchés : aucun
    • Non touchés : tous
  • Version : Prisma Access
    • Touchés : aucun
    • Non touchés : tous

Fin de la mise à jour 1

Il est essentiel pour les organisations de passer en revue l'inventaire de dispositifs et d'applications PAN dans leurs réseaux et de vérifier si ces produits nécessitent l'application de correctifs ou d'autres mesures d'atténuation recommandées.

Les organisations peuvent vérifier si certaines de leurs interfaces de gestion de pare-feu ont été exposées à Internet en consultant le portail de soutien à la clientèle « Palo Alto Customer Support Portal » (en allant sur : Products > Assets > All Assets > Remediation Required)Note de bas de page 8.

Les dispositifs et les applications doivent ensuite être configurés conformément aux pratiques exemplaires recommandées par le fournisseurNote de bas de page 9.

Les organisations devraient également consulter et mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 10 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

  • l'intégration, la surveillance et la défense des passerelles Internet;
  • l'application de correctifs aux applications et aux systèmes d'exploitation;
  • l'isolement des applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, ils sont invités à le signaler par l'entremise de Mon cyberportail, ou par courriel à contact@cyber.gc.ca.

Rapports de partenaires

Palo Alto Networks Emphasizes Hardening Guidance

Date de modification :