Palo Alto Networks a exhorté cette semaine les entreprises à mettre à jour une vulnérabilité zero-day récemment découverte dans l’un de ses produits de sécurité largement utilisés après que des pirates malveillants ont commencé à exploiter le bug pour s’introduire dans les réseaux d’entreprise.
La vulnérabilité est officiellement connue sous le nom de CVE-2024-3400 et a été trouvée dans les versions les plus récentes du logiciel PAN-OS qui s’exécute sur les produits de pare-feu GlobalProtect de Palo Alto. Étant donné que cette vulnérabilité permet aux pirates informatiques de prendre le contrôle total d’un pare-feu concerné sur Internet sans authentification, Palo Alto a attribué au bug une note de gravité maximale. La facilité avec laquelle les pirates informatiques peuvent exploiter le bug à distance expose des milliers d’entreprises qui s’appuient sur des pare-feu à des risques d’intrusion.
Palo Alto a déclaré que les clients devraient mettre à jour leurs systèmes concernés, avertissant que la société est « consciente d’un nombre croissant d’attaques » qui exploitent ce jour zéro – décrites comme telles parce que la société n’a pas eu le temps de corriger le bug avant qu’il ne soit exploité de manière malveillante. Ajoutant une autre complication, Palo Alto a initialement suggéré de désactiver la télémétrie pour atténuer la vulnérabilité, mais a déclaré cette semaine que la désactivation de la télémétrie n’empêche pas l’exploitation.
La société a également déclaré qu’il existe un code public de validation de principe qui permet à quiconque de lancer des attaques exploitant le jour zéro.
La Shadowserver Foundation, une organisation à but non lucratif qui collecte et analyse des données sur les activités malveillantes sur Internet, a déclaré que ses données montrent qu’il existe plus de 156 000 pare-feu Palo Alto potentiellement concernés connectés à Internet, représentant des milliers d’organisations.
La société de sécurité Volexity, qui a découvert et signalé pour la première fois la vulnérabilité de Palo Alto, a déclaré avoir trouvé des preuves d’exploitation malveillante remontant au 26 mars, environ deux semaines avant que Palo Alto ne publie des correctifs. Volexity a déclaré qu’un acteur malveillant soutenu par le gouvernement, appelé UTA0218, avait exploité cette vulnérabilité pour installer une porte dérobée et accéder davantage aux réseaux de ses victimes. Le gouvernement ou l’État-nation pour lequel UTA0218 travaille n’est pas encore connu.
Le Zero Day de Palo Alto est la dernière d’une série de vulnérabilités découvertes ces derniers mois ciblant les dispositifs de sécurité des entreprises, tels que les pare-feu, les outils d’accès à distance et les produits VPN. Ces appareils se situent à la périphérie d’un réseau d’entreprise et fonctionnent comme des gardiens numériques, mais ont tendance à contenir de graves vulnérabilités qui rendent leur sécurité et leurs défenses sans objet.
Plus tôt cette année, le fournisseur de sécurité Ivanti a corrigé plusieurs vulnérabilités critiques du jour zéro dans son produit VPN, Connect Secure, qui permet aux employés d’accéder à distance aux systèmes d’une entreprise via Internet. À l’époque, Volexity associait les intrusions à un groupe de hackers soutenu par la Chine, et l’exploitation massive de la faille a rapidement suivi. Compte tenu de l’utilisation généralisée des produits Ivanti, le gouvernement américain a averti les agences fédérales de mettre à jour leurs systèmes et la National Security Agency des États-Unis a déclaré qu’elle surveillait leur exploitation potentielle dans l’ensemble de la base industrielle de défense américaine.
Et la société technologique ConnectWise, qui fabrique le populaire outil de partage d’écran ScreenConnect utilisé par les administrateurs informatiques pour fournir une assistance technique à distance, a corrigé des vulnérabilités que les chercheurs jugeaient « embarrassantes et faciles à exploiter » et a également conduit à l’exploitation massive des réseaux d’entreprise.
En savoir plus sur TechCrunch :