L’Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a averti jeudi que deux autres failles affectant le logiciel Palo Alto Networks Expedition étaient activement exploitées dans la nature.
À cette fin, il a ajouté les vulnérabilités à ses vulnérabilités exploitées connues (KEV), obligeant les agences du Pouvoir exécutif civil fédéral (FCEB) à appliquer les mises à jour nécessaires d’ici le 5 décembre 2024.
Les failles de sécurité sont répertoriées ci-dessous –
- CVE-2024-9463 (score CVSS : 9,9) – Vulnérabilité d’injection de commande du système d’exploitation Expedition de Palo Alto Networks
- CVE-2024-9465 (score CVSS : 9,3) – Vulnérabilité d’injection SQL de Palo Alto Networks Expedition
Une exploitation réussie des vulnérabilités pourrait permettre à un attaquant non authentifié d’exécuter des commandes arbitraires du système d’exploitation en tant que root dans l’outil de migration Expedition ou de révéler le contenu de sa base de données.
Cela pourrait alors ouvrir la voie à la divulgation des noms d’utilisateur, des mots de passe en clair, des configurations des appareils et des clés API des appareils des pare-feu PAN-OS, ou à la création et à la lecture de fichiers arbitraires sur le système vulnérable.
Palo Alto Networks a corrigé ces lacunes dans le cadre des mises à jour de sécurité publiées le 9 octobre 2024. La société a depuis révisé son avis initial reconnaît qu’il est « au courant des rapports de la CISA selon lesquels il existe des preuves d’exploitation active des CVE-2024-9463 et CVE-2024-9465 ».
Cela dit, on ne sait pas grand-chose sur la manière dont ces vulnérabilités sont exploitées, par qui et dans quelle mesure ces attaques sont répandues.
Ce développement est également intervenu une semaine après que CISA a informé les organisations de l’exploitation active de CVE-2024-5910 (score CVSS : 9,3), une autre faille critique affectant Expedition.
Palo Alto Networks confirme une nouvelle faille sous une attaque limitée
Palo Alto Networks a également confirmé avoir détecté une vulnérabilité d’exécution de commande à distance non authentifiée utilisée contre un petit sous-ensemble d’interfaces de gestion de pare-feu exposées à Internet, invitant les clients à les sécuriser.
« Palo Alto Networks a observé une activité de menace exploitant une vulnérabilité d’exécution de commandes à distance non authentifiée contre un nombre limité d’interfaces de gestion de pare-feu exposées à Internet », indique-t-il. ajouté.
La société, qui enquête sur l’activité malveillante et a attribué à la vulnérabilité un score CVSS de 9,3 (sans identifiant CVE), a également déclaré qu’elle « se prépare à publier des correctifs et des signatures de prévention des menaces le plus tôt possible ».