Palo Alto Networks a publié des mises à jour de sécurité pour résoudre cinq failles de sécurité impactant ses produits, y compris un bug critique qui pourrait conduire à un contournement de l’authentification.
Cataloguée comme CVE-2024-5910 (score CVSS : 9,3), la vulnérabilité a été décrite comme un cas d’authentification manquante dans son outil de migration Expedition qui pourrait conduire à une prise de contrôle du compte administrateur.
« L’absence d’authentification pour une fonction critique dans Palo Alto Networks Expedition peut conduire à une prise de contrôle du compte administrateur Expedition par des attaquants ayant accès au réseau d’Expedition », a déclaré la société dit dans un avis. « Les secrets de configuration, les informations d’identification et d’autres données importées dans Expedition sont menacés en raison de ce problème. »
La faille affecte toutes les versions d’Expedition antérieures à la version 1.2.92, qui corrige le problème. Brian Hysell, du Centre de recherche en cybersécurité de Synopsys (CyRC), a été crédité de la découverte et du signalement du problème.
Bien qu’il n’y ait aucune preuve que la vulnérabilité ait été exploitée dans la nature, il est conseillé aux utilisateurs de mettre à jour vers la dernière version pour se protéger contre les menaces potentielles.
Pour contourner ce problème, Palo Alto Networks recommande de limiter l’accès réseau à Expedition aux utilisateurs, hôtes ou réseaux autorisés.
L’entreprise américaine de cybersécurité a également corrigé une faille récemment découverte dans le protocole RADIUS appelée BlastRADIUS (CVE-2024-3596) qui pourrait permettre à un acteur malveillant doté de capacités pour effectuer une attaque de type « adversaire du milieu » (AitM) entre le pare-feu PAN-OS de Palo Alto Networks et un serveur RADIUS pour contourner l’authentification.
La vulnérabilité permet ensuite à l’attaquant de « élever les privilèges à « superutilisateur » lorsque l’authentification RADIUS est utilisée et CHAP ou PAP est sélectionné dans le profil du serveur RADIUS », il dit.
Les produits suivants sont concernés par les défauts :
- PAN-OS 11.1 (versions = 11.1.3)
- PAN-OS 11.0 (versions = 11.0.4-h4)
- PAN-OS 10.2 (versions = 10.2.10)
- PAN-OS 10.1 (versions = 10.1.14)
- PAN-OS 9.1 (versions = 9.1.19)
- Prisma Access (toutes les versions, le correctif devrait être publié le 30 juillet)
Il a également été noté que ni CHAP ni PAP ne devraient être utilisés à moins qu’ils ne soient encapsulés par un tunnel chiffré, car les protocoles d’authentification n’offrent pas de sécurité de la couche de transport (TLS). Ils ne sont pas vulnérables dans les cas où ils sont utilisés conjointement avec un tunnel TLS.
Cependant, il convient de noter que les pare-feu PAN-OS configurés pour utiliser EAP-TTLS avec PAP comme protocole d’authentification pour un serveur RADIUS ne sont pas non plus sensibles à l’attaque.