L'éditeur précise que les produits Cloud NGFW, Panorama et Prisma Access ne sont pas affectés par cette vulnérabilité.
Résumé
[Mise à jour du 10 mai 2024]
Le CERT-FR est intervenu pour le traitement d'une compromission
par rançongiciel au sein d'une entité française. Dans le cadre de cette
attaque, la vulnérabilité a été exploitée pour ensuite réaliser une
latéralisation dans le système d'information de la victime et déployer
le rançongiciel.
Par ailleurs, l'éditeur recommande l'ouverture d'un dossier de support
et l'exécution d'une version
améliorée de la remise en état d'usine (enhanced factory reset)
[6] dans le cas où un équipement n'aurait pas été mis à jour avant le
25 avril 2024 ou si l'éventualité d'une compromission persistante ne
peut pas être écartée après investigation.
[Mise à jour du 26 avril 2024]
Note importante : Si un
équipement a déjà été compromis, l'application du correctif de sécurité
ne suffit pas. Si des investigations n'ont pas été réalisées, elles doivent être faites
pour s'assurer que l'équipement n'a pas été compromis avant sa mise à
jour. En effet, dans ce cas, une remise en état d'usine sera requis.
[Mise à
jour du 25 avril 2024]
Le CERT-FR a pris connaissance de cas
d'exploitation de cette vulnérabilité par des acteurs
rançongiciels.
Par ailleurs, les mesures de remédiation
ont fait l'objet d'une clarification : la remise en état d'usine
(factory reset) est fortement recommandée dans tous les cas, sauf
contre-ordre explicite de l’éditeur.
[Mise à
jour du 19 avril 2024] Ajout de mesures de remédiation
Détection de la compromission
Il est recommandé de faire une demande d'assistance auprès de Palo Alto
Networks au travers du portail de support (Customer Support Portal,
CSP) en transmettant un technical support file (TSF) pour déterminer
si les journaux de l'équipement contiennent des traces de tentatives
d'exploitation de la vulnérabilité ([1]). Le fichier TSF contient des
données sensibles et doit être stocké et transmis avec précautions.
De plus, le CERT-FR recommande également la recherche des éléments de
compromission (adresses IP et condensats de fichiers) décrits dans
[1], [2] et [3].
Mesures d'endiguement
En cas de suspicion ou de compromission avérée de l'équipement, les
étapes suivantes doivent être suivies :
- Isoler l’équipement d'Internet, sans l'éteindre ;
-
Si l’équipement est une machine virtuelle, prendre un instantané
(snapshot) incluant la mémoire vive à des fins d’investigation
- Sinon, exporter les journaux pour éviter leur rotation ;
- Parallèlement, identifier les comptes du domaine Active Directory
qui seraient configurés sur l'équipement suspecté. Réinitialiser les
secrets associés à ces comptes afin d'éviter que l'attaquant ne
puisse réutiliser ailleurs les identifiants éventuellement volés sur
l'équipement.
Étapes d'investigation
-
Contacter le support Palo Alto Networks pour qu'il investigue le
fichier TSF préalablement exporté
- Le support voudra potentiellement se connecter à l'équipement
pour approfondir l'investigation. Il faudra alors rétablir
l'accès Internet au strict nécessaire ;
- Rechercher sur l’équipement des comptes à privilège ajoutés
illégitimement ;
- En parallèle, rechercher dans les journaux du réseau (pare-feu,
netflow, DNS) les traces de communications inhabituelles initiées
depuis l'équipement ;
- Rechercher dans les journaux de connexion des systèmes internes des
traces de connexion (applicative ou système) provenant de l'adresse
IP de gestion de l'équipement.
Remédiation
Les étapes de remédiations suivantes doivent être suivies. Le support
Palo Alto Networks est également susceptible de communiquer un processus
de remédiation.
- Exporter la configuration ;
- Réaliser une remise en état d'usine (Factory Reset), sauf
contre-ordre explicite de l'équipe support de l'éditeur ; (mise à jour du 25 avril 2024)
- Mettre à jour l'équipement jusqu'à la version contenant le dernier
correctif de sécurité ;
- Réimporter la configuration ;
- Renouveler la clé de chiffrement principale (Master Key) [5] ;
- Renouveler les secrets d'authentification de l'équipement et
révoquer les anciens certificats.
[Mise à jour du 18 avril 2024] Le
CERT-FR a connaissance d'incidents liés à l'exploitation de la
vulnérabilité.
Le CERT-FR a connaissance de plusieurs compromissions avérées en lien
avec la vulnérabilité. Cette alerte sera mise à jour avec des
compléments d'information.
[Mise à jour du 17 avril 2024] Le CERT-FR a
connaissance de codes d'exploitation publics et de tentatives
d'exploitation
Le CERT-FR a connaissance de codes d'exploitation publics et de
tentatives d'exploitation qui pourraient évoluer vers des exploitations
massives de la vulnérabilité. Le CERT-FR recommande donc de déployer les
correctifs diffusés par l'éditeur dans les meilleurs délais. Veuillez
vous référer à la section "Solution" pour plus de détails.
[Publication initiale]
Une vulnérabilité a été découverte dans la fonctionnalité GlobalProtect
de Palo Alto Networks PAN-OS. Elle permet à un attaquant de provoquer
une exécution de code arbitraire à distance.
L'éditeur indique que la vulnérabilité CVE-2024-3400 est exploitée dans
des attaques ciblées.
Contournement provisoire
[Mise à jour du 17 avril 2024] Mise à jour des mesures de
contournement
L'éditeur présentait précédemment la désactivation de la télémétrie
comme mesure de contournement. Cette mesure n'est plus considérée comme
efficace et la vulnérabilité peut être exploitée même si la télémétrie
est désactivée.
[Publication initiale]
Le CERT-FR recommande d'appliquer les mesures de contournement
documentées par l'éditeur dans son avis de sécurité à la section Workarounds
and Mitigations (cf. section Documentation).
Solution
[Mise à jour du 19 avril 2024]
Publication des dernières versions correctives
Les versions correctives 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13,
10.2.4-h16, 11.0.0-h3 et 11.0.1-h4 ont été publiées.
[Mise à jour du 17 avril 2024] Ajout de versions correctives
Les versions correctives PAN-OS 10.2.6-h3, PAN-OS 10.2.5-h6, PAN-OS
11.0.3-h10, PAN-OS 11.0.2-h4, PAN-OS 11.1.1-h1 et PAN-OS 11.1.0-h3 ont
été publiées.
[Mise à jour du 16 avril 2024] Ajout
de versions correctives
Les versions correctives PAN-OS 10.2.8-h3 et PAN-OS 10.2.7-h8 ont été
publiées.
[Mise à jour du 15 avril 2024] Publication des premières versions
correctives
Les mises à jour suivantes contiennent un correctif de sécurité : PAN-OS
10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. L'éditeur indique que
des versions correctives pour les autres versions communément déployées
seront publiées progressivement jusqu'au 19 avril 2024.
[Publication initiale]
Palo Alto Networks a annoncé qu'un correctif sera disponible le 14 avril
2024.
Le CERT-FR recommande de
consulter régulièrement les annonces de l'éditeur pour la mise à
disposition des correctifs.