CERTFR-2024-ALE-006 : Vulnérabilité dans Palo Alto Networks PAN-OS (12 avril 2024)

Risque(s)

• Exécution de code arbitraire à distance

Systèmes affectés

• PAN-OS 11.1.x versions antérieures à 11.1.2-h3
• PAN-OS 11.0.x versions antérieures à 11.0.4-h1
• PAN-OS 10.2.x antérieures à 10.2.9-h1

Un correctif est en attente de publication pour PAN-OS versions 11.1.x, 11.0.x et 10.2.x.

Résumé

Une vulnérabilité a été découverte dans Palo Alto Networks PAN-OS. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

L'éditeur indique que la vulnérabilité CVE-2024-3400 est utilisée dans des attaques ciblées.

Contournement provisoire

Le CERT-FR recommande d'appliquer les mesures de contournement documentées par l'éditeur dans son avis de sécurité à la section Workarounds and Mitigations (cf. section Documentation).

Solution

Palo Alto Networks a annoncé qu'un correctif sera disponible le 14 avril 2024.

Le CERT-FR recommande de consulter régulièrement les annonces de l'éditeur pour la mise à disposition des correctifs.

Documentation

• Bulletin de sécurité Palo Alto Networks PAN-252214 du 12 avril 2024
  https://security.paloaltonetworks.com/CVE-2024-3400
• Référence CVE CVE-2024-3400
  https://www.cve.org/CVERecord?id=CVE-2024-3400