Palo Alto Networks, une entreprise de cybersécurité bien connue, a signalé une attaque active d’exploitation ciblant une vulnérabilité du jour zéro dans son interface de gestion de pare-feu. La faille, considérablement sévère, est potentiellement susceptible d’exécution de code à distance (RCE) non authentifiée par des attaquants.
De manière effrayante, cette vulnérabilité très dangereuse ne nécessite aucune interaction ou privilège utilisateur pour être efficacement exploitée, témoignant de sa sophistication. Avec sa « faible » complexité d’attaque signalée, la faille a obtenu un score de 9,3 sur un parfait 10 dans les évaluations du système de notation des vulnérabilités communes (CVSSv4.0), indiquant son niveau de risque élevé.
Actuellement, il n’existe aucun correctif pour résoudre cette vulnérabilité, étant donné l’absence d’un numéro d’identification CVE qui lui est attribué. Une exploitation réussie pourrait ouvrir la voie à une prise de contrôle par un attaquant du pare-feu menacé, lui permettant ainsi de gagner d’un accès potentiel au réseau respectif. Il est important de noter qu’un tel scénario nécessiterait que le pirate ait accès à l’interface de gestion du pare-feu, soit en interne soit via internet.
En réponse proactive à la crise, Palo Alto Networks avait initialement recommandé des mesures pour renforcer la sécurité réseau de ses produits, principalement en niant tout accès à l’interface. Cela a été vu comme une mesure préventive à la lumière des rapports suggérant une éventuelle faille d’exécution de code à distance (RCE) dans le PAN-OS de ses appareils quelques jours auparavant.
Malgré ses origines non spécifiques, cette faille théorisée a été confirmée par l’entreprise tard jeudi, alors qu’ils admettaient avoir « observé une activité de menace exploitant une vulnérabilité d’exécution de commande à distance non authentifiée contre un nombre limité d’interfaces de gestion de pare-feu qui sont exposées à l’internet. »
En contre-mesure, la société a instamment exhorté ses clients à s’assurer que l’accès à l’interface de gestion de leurs systèmes de pare-feu Palo Alto est strictement limité à des IPs internes de confiance. De plus, ils ont souligné la nécessité de restreindre tous les accès à l’interface depuis internet sans délai.
