La vulnérabilité CVE-2024-3400 est une faille critique découverte dans la fonctionnalité GlobalProtect du système d’exploitation PAN-OS de Palo Alto Networks. Elle permet à un attaquant non authentifié d’exécuter à distance des commandes arbitraires avec des privilèges root sur le pare-feu concerné. Cette vulnérabilité a reçu un score de gravité de 10 sur l’échelle CVSS, reflétant son niveau de risque élevé.
L’exploitation de cette faille repose sur deux défauts combinés dans PAN-OS. Le premier concerne une validation insuffisante du format des identifiants de session par le service GlobalProtect, permettant à un attaquant de créer un fichier vide avec un nom de son choix. Le second défaut réside dans la confiance excessive accordée à ces noms de fichiers, utilisés dans la construction de commandes système, ouvrant la voie à l’injection de commandes malveillantes.
Des preuves d’exploitation active de cette vulnérabilité ont été observées, avec des attaquants installant des portes dérobées personnalisées, comme UPSTYLE, sur les dispositifs ciblés. Ces portes dérobées permettent aux attaquants d’exécuter des commandes supplémentaires sur le pare-feu compromis.
Palo Alto Networks a publié des correctifs pour les versions affectées de PAN-OS, notamment 10.2, 11.0 et 11.1. Il est recommandé aux utilisateurs de ces versions d’appliquer les mises à jour de sécurité fournies pour atténuer les risques associés à cette vulnérabilité.
Ajout de la détection par ONYPHE
Cette détection a été ajoutée le 15 avril 2024 dans notre moteur.
