Sélection de la langue

Government of Canada / Gouvernement du Canada

Alerte - Vulnérabilité critique touchant la passerelle GlobalProtect de PAN-OS - Mise à jour 2

Numéro : AL24-005
Date : 17 avril 2024

Auditoire

La présente alerte s’adresse aux professionnelles et professionnels et aux gestionnaires des TI.

Objet

Une alerte a pour objet de prévenir les destinataires que des cybermenaces ont été relevées récemment et que celles-ci pourraient toucher les biens d’information électronique. Elle vise également à leur fournir des conseils supplémentaires en matière de détection DétectionSurveillance et analyse des événements d'un système en vue de relever les tentatives d’accès non autorisées aux ressources du système. et d’atténuation. Le Centre canadien pour la cybersécurité CybersécuritéProtection de données numériques et préservation de l'intégrité de l'infrastructure servant à stocker et à transmettre des données numériques. Plus particulièrement, la cybersécurité englobe l'ensemble des technologies, des processus, des pratiques, des mesures d'intervention et d'atténuation dont la raison d'être est d'empêcher que les réseaux, ordinateurs, programmes et données soient attaqués ou endommagés, ou qu'on y accède sans autorisation, afin d'en assurer la confidentialité, l'intégrité et la disponibilité. (ou Centre pour la cybersécurité) est en mesure d’offrir, aux destinataires qui en font la demande, une assistance complémentaire concernant la teneur de la présente alerte.

Détails

Le 12 avril 2024, Palo Alto Networks a publié un bulletin de sécurité concernant une vulnérabilité VulnérabilitéDéfectuosité ou lacune inhérente à la conception ou à la mise en œuvre d’un système d’information ou à son environnement, qui pourrait être exploitée en vue de compromettre les biens ou les activités d’une organisation. critique (CVE-2024-3400) touchant la passerelle PasserelleSystème intermédiaire servant d’interface entre deux réseaux informatiques. Il peut s’agir d’un serveur, d’un coupe-feu, d’un routeur ou d’un autre dispositif qui permet aux données de passer dans un réseau. GlobalProtect dans les versions de PAN-OS 11.1, 11.0 et 10.2ote en bas de page 1. En réponse à cette information, le Centre pour la cybersécurité a publié le bulletin AV24-198 le 12 avrilNote de bas de page 2.

L’exploitation de la vulnérabilité CVE-2024-3400 pourrait permettre à des auteures et auteurs de menace non authentifiés d’exécuter du code arbitraire au moyen de privilèges racines sur le pare-feuNote de bas de page 1. Palo Alto Networks est au fait d’une exploitation limitée de la vulnérabilité CVE-2024-3400.

Cette vulnérabilité touche les pare-feu des versions PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 pour lesquelles les configurations de la passerelle GlobalProtect et de télémétrie sur les appareils sont activées.

  • PAN-OS 11.1 – versions antérieures à la version 11.1.2.- h3
  • PAN-OS  11.0 – versions antérieures à la version 11.0.4.- h1
  • PAN-OS  10.2 – versions antérieures à la version 10.2.9.- h1

Des correctifs visant cette vulnérabilité sont en en train d’être conçus et devraient être publiés d’ici le 14 avrilNote de bas de page 1.

Les appliances Panorama et NGFW dans l’infonuagique InfonuagiqueRecours à des serveurs distants hébergés dans Internet. L'infonuagique permet à des utilisateurs d'accéder à un ensemble de ressources informatiques (réseaux, serveurs, applications, services) sur demande pour peu qu'ils disposent d'un accès à Internet. Les utilisateurs parviennent à ces ressources par l'intermédiaire d'un réseau informatique plutôt que d'avoir à les stocker toutes sur leur propre ordinateur.  , ainsi que Prisma Access, ne sont pas touchées.

Mise à Jour 1

Le 14 avril 2024, Palo Alto Networks a publié des correctifs pour les versions PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3ote de bas de page 6. Des correctifs s’adressant à d’autres versions seront offerts au cours des prochains jours.

Mise à Jour 2

Le 17 avril 2024, Palo Alto Networks a mis à jour son bulletin de sécuritéNote de bas de page 1 de manière à indiquer que la désactivation de la télémétrie sur les dispositifs ne permettait PAS de protéger contre l’exploitation des pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 configurés avec la passerelle GlobalProtect et/ou le portail GlobalProtect.

Le portail GlobalProtect ayant désormais été ajouté comme configuration vulnérable, Palo Alto Networks ne recommande plus ce produit comme mesure d’atténuation et conseille aux clients touchés d’appliquer les correctifs.

Palo Alto Networks a également fourni des ID de menace Threat Prevention additionnels (ID 95189 et 95191). Ceux-ci sont disponibles dans la version 8836-8695 du contenu Applications and Threat et dans les versions ultérieures. Les clients disposant d’un abonnement Threat Prevention peuvent tirer avantage des nouvelles signatures de détection et de prévention.

Mesures recommandées

Mise à jour 17 avril 2024

Les clients peuvent déterminer si une passerelle ou un portail GlobalProtect a été configuré en vérifiant les entrées dans l’interface InterfaceFrontière où transitent les communications entre deux systèmes. Il peut s’agir d’un connecteur matériel utilisé pour la connexion à d’autres dispositifs ou d’une convention permettant d’établir des communications entre deux systèmes logiciels.  Web de leur pare-feu (Network > GlobalProtect > ou Network > GlobalProtection > Portals).

Pour tenir compte de la mise à jour que Palo Alto Networks a apportée à son bulletin, le Centre pour la cybersécurité a supprimé la recommandation préconisant de désactiver la télémétrie comme stratégie d’atténuation.

Fin de la mise à jour

Le Centre pour la cybersécurité recommande fortement aux organisations d’installer les correctifs aux pare-feu touchés dès qu’ils seront rendus disponibles.

Les clients ayant un abonnement Threat Prevention peuvent bloquer les attaques découlant de cette vulnérabilité en activant l’ID 95187 (déployé dans la version 8833-8682 du contenu Applications and Threats).

En plus de cette activation, les clients doivent s’assurer que la protection de vulnérabilité s’applique à leur interface GlobalProtect afin d’empêcher l’exploitation de cette vulnérabilité sur leurs dispositifsNote de bas de page 1.

S’il n’est pas possible d’appliquer la mesure d’atténuation dans Threat Prevention, il est possible d’atténuer les répercussions de cette vulnérabilité en désactivant temporairement la télémétrie sur les appareils jusqu’à que les dispositifs soient mis à niveau avec une version corrigée de PAN-OS. Une fois la mise à niveau effectuée, la télémétrie sur les appareils doit être réactivéeNote de bas de page 1.

Le Centre pour la cybersécurité recommande aux organisations de consulter l’information disponible de sources ouvertes pour en savoir plus et connaître les indicateurs de compromissionNote de bas de page3Note de bas de page 4.

Les organisations devraient également consulter et mettre en œuvre les 10 mesures de sécurité des TINote de bas de page 5 du Centre pour la cybersécurité, en particulier celles liées aux sujets suivants :

  • l’intégration, la surveillance et la défense des passerelles Internet;
  • l’application de correctifs aux applications et aux systèmes d’exploitation;
  • isoler les applications Web.

Si les destinataires relèvent des activités semblables aux informations fournies dans la présente alerte, ils sont invités à le signaler par l’entremise de Mon cyberportail, ou par courriel à contact@cyber.gc.ca.

Rapports de partenaires

ACSC - OS Command Injection Vulnerability in GlobalProtect Gateway (en anglais seulement)

NCSC-NZ - Palo Alto Command Injection Vulnerability in PAN-OS GlobalProtect (en anglais seulement)

Date de modification :