Dans une mise à jour de son avis de sécurité, l’éditeur Palo Alto Networks déclare désormais que la faille PAN-SA-2024-0015 d’exécution de code à distance qui affecte ses pare-feu est en fait une double vulnérabilité. La première est bien une faille critique (9.3/10) de contournement de l’authentification, répertoriée sous le nom de CVE-2024-0012. La seconde est un bug d’escalade des privilèges de gravité moyenne (6.9/10), répertorié sous le nom de CVE-2024-9474.
D’après l’équipe de cybersécurité de Wiz, un attaquant disposant d’un accès réseau à l’interface peut exploiter CVE-2024-0012 pour contourner l’authentification, puis tirer parti de CVE-2024-9474 pour escalader les privilèges et obtenir un accès administrateur pour exécuter des actions administratives arbitraires. De cette manière, des intrus ont pu déployer des portes dérobées pour contrôler les équipements à distance, ainsi que des logiciels malveillants et de minage de crypto-monnaie.
Les attaques ont « augmenté de façon spectaculaire », selon Wiz, depuis qu’une preuve de concept permettant l’exploitation de ces deux vulnérabilités est disponible publiquement.
Plus de 2.000 pare-feu de Palo Alto Networks auraient été compromis par des attaquants ayant exploité ces deux failles de sécurité récemment corrigées par Palo Alto Network, selon les données de Shadowserver.