Résumé

[Mise à jour du 10 mai 2024]Le CERT-FR est intervenu pour le traitement d'une compromissionpar rançongiciel au sein d'une entité française. Dans le cadre de cetteattaque, la vulnérabilité a été exploitée pour ensuite réaliser unelatéralisation dans le système d'information de la victime et déployerle rançongiciel.

Par ailleurs, l'éditeur recommande l'ouverture d'un dossier de supportet l'exécution d'une versionaméliorée de la remise en état d'usine (enhanced factory reset)[6] dans le cas où un équipement n'aurait pas été mis à jour avant le25 avril 2024 ou si l'éventualité d'une compromission persistante nepeut pas être écartée après investigation.

[Mise à jour du 26 avril 2024]

Note importante : Si unéquipement a déjà été compromis, l'application du correctif de sécuriténe suffit pas. Si des investigations n'ont pas été réalisées, elles doivent être faitespour s'assurer que l'équipement n'a pas été compromis avant sa mise àjour. En effet, dans ce cas, une remise en état d'usine sera requis.

[Mise àjour du 25 avril 2024]

Le CERT-FR a pris connaissance de casd'exploitation de cette vulnérabilité par des acteursrançongiciels.

Par ailleurs, les mesures de remédiationont fait l'objet d'une clarification : la remise en état d'usine(factory reset) est fortement recommandée dans tous les cas, saufcontre-ordre explicite de l’éditeur.

[Mise àjour du 19 avril 2024] Ajout de mesures de remédiation

Détection de la compromission

Il est recommandé de faire une demande d'assistance auprès de Palo AltoNetworks au travers du portail de support (Customer Support Portal,CSP) en transmettant un technical support file (TSF) pour déterminersi les journaux de l'équipement contiennent des traces de tentativesd'exploitation de la vulnérabilité ([1]). Le fichier TSF contient desdonnées sensibles et doit être stocké et transmis avec précautions.

De plus, le CERT-FR recommande également la recherche des éléments decompromission (adresses IP et condensats de fichiers) décrits dans[1], [2] et [3].

Mesures d'endiguement

En cas de suspicion ou de compromission avérée de l'équipement, lesétapes suivantes doivent être suivies :

1. Isoler l’équipement d'Internet, sans l'éteindre ;
2. Si l’équipement est une machine virtuelle, prendre un instantané(snapshot) incluant la mémoire vive à des fins d’investigation
   • Sinon, exporter les journaux pour éviter leur rotation ;
3. Parallèlement, identifier les comptes du domaine Active Directoryqui seraient configurés sur l'équipement suspecté. Réinitialiser lessecrets associés à ces comptes afin d'éviter que l'attaquant nepuisse réutiliser ailleurs les identifiants éventuellement volés surl'équipement.

Étapes d'investigation

1. Contacter le support Palo Alto Networks pour qu'il investigue lefichier TSF préalablement exporté
   • Le support voudra potentiellement se connecter à l'équipementpour approfondir l'investigation. Il faudra alors rétablirl'accès Internet au strict nécessaire ;
2. Rechercher sur l’équipement des comptes à privilège ajoutésillégitimement ;
3. En parallèle, rechercher dans les journaux du réseau (pare-feu,netflow, DNS) les traces de communications inhabituelles initiéesdepuis l'équipement ;
4. Rechercher dans les journaux de connexion des systèmes internes destraces de connexion (applicative ou système) provenant de l'adresseIP de gestion de l'équipement.

Remédiation

Les étapes de remédiations suivantes doivent être suivies. Le supportPalo Alto Networks est également susceptible de communiquer un processusde remédiation.

1. Exporter la configuration ;
2. Réaliser une remise en état d'usine (Factory Reset), saufcontre-ordre explicite de l'équipe support de l'éditeur ; (mise à jour du 25 avril 2024)
3. Mettre à jour l'équipement jusqu'à la version contenant le derniercorrectif de sécurité ;
4. Réimporter la configuration ;
5. Renouveler la clé de chiffrement principale (Master Key) [5] ;
6. Renouveler les secrets d'authentification de l'équipement etrévoquer les anciens certificats.

[Mise à jour du 18 avril 2024] LeCERT-FR a connaissance d'incidents liés à l'exploitation de lavulnérabilité.

Le CERT-FR a connaissance de plusieurs compromissions avérées en lienavec la vulnérabilité. Cette alerte sera mise à jour avec descompléments d'information.

[Mise à jour du 17 avril 2024]Le CERT-FR aconnaissance de codes d'exploitation publics et de tentativesd'exploitation

Le CERT-FR a connaissance de codes d'exploitation publics et detentatives d'exploitation qui pourraient évoluer vers des exploitationsmassives de la vulnérabilité. Le CERT-FR recommande donc de déployer lescorrectifs diffusés par l'éditeur dans les meilleurs délais. Veuillezvous référer à la section "Solution" pour plus de détails.

[Publication initiale]

Une vulnérabilité a été découverte dans la fonctionnalité GlobalProtectde Palo Alto Networks PAN-OS. Elle permet à un attaquant de provoquerune exécution de code arbitraire à distance.

L'éditeur indique que la vulnérabilité CVE-2024-3400 est exploitée dansdes attaques ciblées.