Palo Alto est connue pour ses solutions de sécurité réseau qu’elle fournit aux fournisseurs de services, aux entreprises et aux gouvernements. En septembre dernier, quatre vulnérabilités ont été découvertes dans le logiciel de pare-feu réseau de Palo Alto.
Ces vulnérabilités ont été dévoilées par deux chercheurs en sécurité de Positive Technologies (PT). Ils ont découvert et signalé quatre vulnérabilités majeures résidant dans le système d’exploitation PAN-OS de Palo Alto.
PAN-OS est la technologie sous-jacente des pare-feu d’entreprise de Palo Alto. Ces pare-feu de nouvelle génération (NGFW) ont la confiance des grandes entreprises, et ces failles exposent les entreprises à des risques énormes.
Vulnérabilités déclarées
Palo Alto a révélé publiquement les quatre vulnérabilités après avoir publié les notes de correctifs. Ces vulnérabilités avaient un niveau de gravité important, et toutes visaient le côté réseau du pare-feu de Palo Alto ; les détails sont les suivants :
➔ CVE-2020-2037 – Cette vulnérabilité permettait l’exécution de commandes arbitraires du système d’exploitation, mais cet accès était limité aux seuls utilisateurs autorisés ; le niveau de gravité était donc faible.
➔ CVE-2020-2038 – Cette faille exposait également le système PAN-OS à l’exécution de commandes arbitraires par des utilisateurs autorisés dans les versions les plus récentes du système d’exploitation.
➔ CVE-2020-2039 – Le risque d’attaque par déni de service a été mis en évidence lorsqu’un attaquant était en mesure de télécharger des fichiers temporaires dans le système de gestion jusqu’à ce que ou à moins que l’espace disque soit complètement épuisé, ce qui entraînait un mauvais comportement du système.
➔ CVE-2020-2036 – Une vulnérabilité XSS potentielle a été révélée avec un niveau de gravité élevé. L’attaquant a pu utiliser des techniques d’ingénierie sociale pour tromper l’administrateur du système et lui faire ouvrir un lien suspect contenant un code JavaScript à exécuter du côté de l’administrateur. Ce code donnait tous les privilèges d’administrateur à l’attaquant.
Les chercheurs en sécurité de Positive Technologies ont souligné les dangereuses conséquences de ces failles dans l’un de leurs articles de blog officiels. Mikhail Klyuchnikov et Nikita Abramov ont ajouté que « les pirates peuvent utiliser ces vulnérabilités pour pirater des données sensibles et endommager le pare-feu pour perturber le réseau interne ».
Ces chercheurs testaient l’interface de gestion web du pare-feu en utilisant l’analyse BlackBox lorsqu’ils ont découvert de multiples failles résidant dans le système.
L’exécution de code à distance (RCE) était une faille majeure, mais ses niveaux de gravité étaient faibles car l’exécution était limitée aux seuls utilisateurs autorisés. Par conséquent, il était impossible pour un utilisateur non autorisé d’exécuter des commandes arbitraires.
Le serveur web Ngnix se trouve derrière le pare-feu de Palo Alto. Il était possible pour un utilisateur non autorisé de télécharger de nombreux fichiers sur le serveur jusqu’à ce que tout l’espace disque soit épuisé. Cela peut entraîner un plantage du serveur ou un comportement incertain en raison du DoS.
Défaut d’exploitation du XSS
Une vulnérabilité XSS reflétée a également été révélée dans l’interface web de gestion (CVE-2020-2036.) Cette faille résidait dans le script suivant :
/unauth/php/change_mot_de_passe.php.
L’attaquant pouvait facilement utiliser la variable $_SERVER[‘PHP_SELF’] contrôlée par l’utilisateur pour exploiter facilement la vulnérabilité XSS qui avait le potentiel d’accéder aux privilèges de l’administrateur.
Mises à jour des patchs
Les avis ont été publiés par Palo Alto, qui a également diffusé les patchs en septembre 2020. Palo Alto a également fait une déclaration officielle disant que :
« En septembre 2020, Palo Alto Networks a publié des correctifs et des avis de sécurité pour y remédier. Nous apprécions que les chercheurs nous fassent part de leurs conclusions ».
Il est conseillé aux administrateurs de systèmes de passer à la dernière version du logiciel fourni afin d’éviter toute conséquence fâcheuse.