CVE-2024-0012/CVE-2024-9474
PanOS Authentication Bypass / Command injection

Introduction


 

Remote   
Authenticated   
Default config   
Source  🌍 

 

Versions concernées 

  • PAN-OS 11.2 (<11.2.4-h1) 
  • PAN-OS 11.1 (<11.1.5-h1) 
  • PAN-OS 11.0 (<11.0.6-h1) 
  • PAN-OS 10.2 (<10.2.12-h2) 
  • PAN-OS 10.1 (<10.1.14-h6) : uniquement pour la CVE-2024-9474 

 

Détails


Le 18 novembre 2024, la société Palo Alto a publié deux bulletins d’alerte concernant le système d’exploitation équipant certains de ces produits. La première identifiée comme CVE-2024-0012 est classée comme critique avec un score CVSS v4.0 de 9.3 et, permet d’outrepasser l’authentification sur l’interface de gestion des équipements afin d’obtenir un accès administrateur. La deuxième, la CVE-2024-9474, quant à elle, permet d’exécuter des actions sur le pare-feu en lui-même depuis un compte administrateur sur l’interface de gestion et est considérée comme moyenne avec un score CVSS4.0 de 6.9. 

 

Quelques points d’attention sont nécessaires ici. Tout d’abord, concernant la seconde vulnérabilité : il est important de noter la différence qu’il existe entre un administrateur de solution et un compte administrateur sur la solution en elle-même. Dans ce contexte, un administrateur de l’interface de gestion dispose des droits pour gérer les fonctionnalités prévues par la solution (gestion des règles de filtrages, création d’utilisateurs, etc.) mais il ne peut pas modifier la solution en elle-même. La problématique réside donc dans le fait qu’un utilisateur d’interface puisse faire des modifications sur le système sous-jacent. 

 

L’autre point d’attention concerne le fait que si l’on combine ces deux vulnérabilités il est possible pour un attaquant n’ayant aucun accès de prendre le contrôle de la solution.  

 

Enfin, les interfaces de gestion étant des composants sensibles, les bonnes pratiques de sécurité préconisent qu’elles ne soient pas directement accessibles sur internet. L’éditeur a cependant fait un recoupement entre les interfaces exposées publiquement et les équipements enregistrés afin de les marquer comme vulnérables dans le compte des clients concernés. 

 

Il est également important de noter que la toute première mention de la vulnérabilité aujourd’hui identifiée comme CVE-2024-0012 par l’éditeur date du 08 novembre, indiquant simplement la nécessité de s’assurer de la sécurisation de l’interface de gestion. Toutefois, sa criticité a été élevée au niveau critique dès que des informations concernant son utilisation par des acteurs de la menace ont été confirmées le 14 novembre. 

 

Le 19 novembre, la société watchtowr, habituée du “patch diffing” (technique consistant à comparer deux versions d’un logiciel pour observer les modifications apportées), a détaillé le fonctionnement de ces vulnérabilités dans un article dédié. Cette analyse a donc permis d’avoir plus d’information permettant la rédaction de règles de détection. 

 

On y apprend que la cause de ces vulnérabilités est liée à un manque d’assainissement ; la possibilité de fournir un header (X-PAN-AUTHCHECK) spécifique permettant d’outrepasser l’authentification d’une part, et la possibilité de pouvoir injecter une commande dans un nom d’utilisateur d’autre part. 

Détection


Grâce à ces détails, des règles de détections sont disponibles depuis le 19 novembre. 

 
2057705  ET WEB_SPECIFIC_APPS Palo Alto PAN-OS Authentication Bypass (CVE-2024-0012)   
2057706  ET WEB_SPECIFIC_APPS Palo Alto PAN-OS Command Injection in User Parameter   

 

L’éditeur a par ailleurs également publié un article détaillant les attaques observées ainsi que différents IoC. 

Correction


L’éditeur a publié, simultanément à l’annonce des CVE, les correctifs nécessaires pour remédier aux vulnérabilités.

Dans le cas où une mise à jour rapide ne serait pas envisageable, l’éditeur recommande de restreindre les accès aux interfaces de gestion à un nombre limité d’adresses IP internes