Des pirates informatiques très compétents s’attaquent à plusieurs réseaux d’entreprise en exploitant une vulnérabilité Zero Day de gravité maximale dans un produit de pare-feu de Palo Alto Networks, ont annoncé vendredi des chercheurs.
La vulnérabilité, qui est activement exploitée depuis au moins deux semaines maintenant, permet aux pirates sans authentification d’exécuter du code malveillant avec les privilèges root, le niveau d’accès au système le plus élevé possible, ont indiqué les chercheurs. L’étendue de la compromission, ainsi que la facilité d’exploitation, ont valu à la vulnérabilité CVE-2024-3400 l’indice de gravité maximum de 10,0. Les attaques en cours sont les dernières d’une série d’attaques visant les pare-feu, les VPN et les appareils de transfert de fichiers, qui sont des cibles populaires en raison de leur richesse en vulnérabilités et de leur pipeline direct vers les parties les plus sensibles d’un réseau.
UTA0218 « hautement compétent » susceptible d’être rejoint par d’autres
Le jour zéro est présent dans les pare-feu PAN-OS 10.2, PAN-OS 11.0 et/ou PAN-OS 11.1 lorsqu’ils sont configurés pour utiliser à la fois la passerelle GlobalProtect et la télémétrie de l’appareil. Palo Alto Networks n’a pas encore corrigé la vulnérabilité, mais exhorte les clients concernés à suivre les solutions de contournement et les conseils d’atténuation fournis ici. Les conseils incluent l’activation de l’ID de menace 95187 pour les personnes abonnés au service de prévention des menaces de l’entreprise et la garantie que la protection contre les vulnérabilités a été appliquée à leur interface GlobalProtect. Lorsque cela n’est pas possible, les clients doivent désactiver temporairement la télémétrie jusqu’à ce qu’un correctif soit disponible.
Volexity, la société de sécurité qui a découvert les attaques du jour zéro, a déclaré qu’elle n’était actuellement pas en mesure de lier les attaquants à des groupes connus auparavant. Cependant, compte tenu des ressources requises et des organisations ciblées, elles sont « hautement compétentes » et probablement soutenues par un État-nation. Jusqu’à présent, seul un seul groupe de menaces, que Volexity suit sous le nom d’UTA0218, exploite cette vulnérabilité dans le cadre d’attaques limitées. La société a averti qu’à mesure que de nouveaux groupes prendraient connaissance de la vulnérabilité, CVE-2024-3400 serait susceptible d’être exploitée à grande échelle, tout comme les récents Zero Day affectant des produits comme Ivanti, Atlassian, Citrix et Progress l’ont fait ces derniers mois.
« Comme lors de précédentes divulgations publiques de vulnérabilités dans ce type d’appareils, Volexity estime qu’il est probable qu’un pic d’exploitation sera observé au cours des prochains jours par UTA0218 et potentiellement par d’autres acteurs malveillants susceptibles de développer des exploits pour cette vulnérabilité », ont déclaré les chercheurs de l’entreprise. a écrit vendredi. « Ce pic d’activité sera motivé par l’urgence de fermer cette fenêtre d’accès en raison des mesures d’atténuation et des correctifs déployés. Il est donc impératif que les organisations agissent rapidement pour déployer les mesures d’atténuation recommandées et effectuer des analyses de compromission de leurs appareils afin de vérifier si une enquête interne plus approfondie sur leurs réseaux est nécessaire.
Les premières attaques observées par Volexity ont eu lieu le 26 mars. Les chercheurs de l’entreprise soupçonnent qu’il s’agissait d’UTA0218 testant la vulnérabilité en plaçant des fichiers de zéro octet sur des pare-feu pour valider l’exploitabilité. Le 7 avril, les chercheurs ont observé le groupe tenter sans succès d’installer une porte dérobée sur le pare-feu d’un client. Trois jours plus tard, les attaques du groupe ont réussi à déployer des charges utiles malveillantes. Depuis lors, le groupe de menaces a déployé des logiciels malveillants post-exploitation personnalisés et inédits. La porte dérobée, écrite en langage Python, permet aux attaquants d’utiliser des requêtes réseau spécialement conçues pour exécuter des commandes supplémentaires sur des appareils piratés.