Détection CVE-2024-3400 : Vulnérabilité Zero-Day d’Injection de Commandes dans PAN-OS de Sévérité Maximale dans le Logiciel GlobalProtect
Table des matières :
Une nouvelle vulnérabilité zero-day d’injection de commandes dans la fonctionnalité GlobalProtect du logiciel PAN-OS de Palo Alto Networks fait la une des journaux. Cette faille extrêmement critique, identifiée comme CVE-2024-3400, a déjà été exploitée dans une série d’attaques en circulation.
Détecter les tentatives d’exploitation de CVE-2024-3400
Le nombre de vulnérabilités exploitées pour des attaques in-the-wild augmente considérablement chaque année, avec plus de 30 000 nouvelles failles découvertes uniquement en 2023. Cela fait de la détection de l’exploitation des vulnérabilités l’un des cas d’utilisation en cybersécurité les plus en vogue. Pour aider les défenseurs à faire face aux menaces émergentes à temps et à défendre de façon proactive, la plateforme SOC Prime pour la défense cybernétique collective offre une suite complète de produits pour l’ingénierie de la détection alimentée par l’IA, la chasse automatique aux menaces et la validation de la pile de détection.
Soutenue par la plus grande bibliothèque mondiale de détection-as-code d’algorithmes, traitant toute attaque cybernétique ou menace émergente dans un délai SLA de 24 heures, les professionnels de la sécurité peuvent identifier de manière transparente les activités malveillantes et rationaliser l’enquête pour détecter les intrusions dès les premières étapes.
Compte tenu de l’exploitation active d’une vulnérabilité zero-day critique impactant les pare-feu Palo Alto Networks, l’équipe SOC Prime a créé un ensemble d’algorithmes de détection pour identifier les tentatives possibles d’exploitation de CVE-2024-3400 basées sur le PoC disponible.
Les deux règles de l’ensemble sont compatibles avec 28 technologies SIEM, EDR et Data Lake et sont mappées au cadre MITRE ATT&CK® version 14.1. De plus, les détections sont enrichies avec des métadonnées étendues et des CTI détaillées.
Pour rester informés et ne pas manquer de précieuses mises à jour, les défenseurs peuvent vérifier de nouvelles règles pertinentes abordant les exploits de CVE-2024-3400 en cliquant sur le Explorer les détections bouton ci-dessous.
Analyse de CVE-2024-3400
Une nouvelle vulnérabilité critique CVE-2024-3400 zero-day dans les pare-feux Palo Alto Networks attire l’attention avec le score CVSS le plus élevé de 10.0. La vulnérabilité d’injection de commandes révélée affecte des versions spécifiques de PAN-OS (10.2, 11.0 et 11.1) ainsi que certaines configurations de fonctionnalités. Cependant, les appareils Cloud NGFW, Panorama et Prisma Access ne sont pas concernés par la portée d’impact de CVE-2024-3400.
Selon le conseil aux utilisateurs du fournisseur, si certaines conditions d’exploitation sont remplies, la vulnérabilité pourrait potentiellement permettre l’exécution de code arbitraire avec des privilèges root sur le pare-feu. Des correctifs pour CVE-2024-3400 ont été rendus disponibles pour certaines versions impactées à partir du 14 avril 2024.
Palo Alto Networks indique que CVE-2024-3400 peut être exploité dans la nature dans une série de cyberattaques. Les chercheurs de Volexity suivent les adversaires sous le pseudonyme UTA0218. Les attaquants peuvent exploiter la faille au sein de GlobalProtect en exploitant à distance le dispositif pare-feu, en établissant un shell inversé et en téléchargeant des outils supplémentaires sur le dispositif compromis, comme un utilitaire de tunneling basé sur Golang surnommé GOST.
Au cours de l’enquête sur CVE-2024-3400, Volexity a observé des tentatives d’attaquants pour implanter un backdoor Python, nommé UPSTYLE, sur le pare-feu. Le malware facilite l’exécution de commandes supplémentaires sur le dispositif grâce à des requêtes réseau méticuleusement conçues.
Après une exploitation réussie de CVE-2024-3400, les adversaires UTA0218 téléchargent un kit d’outils offensifs supplémentaires depuis leurs serveurs distants pour propager l’infection davantage. Ils appliquent le mouvement latéral, procèdent à l’extraction de données sensibles et comptent potentiellement sur une activité de reconnaissance pour détecter les systèmes exposés aux attaques.
En tant qu’étapes de mitigation de CVE-2024-3400, les défenseurs recommandent de mettre à jour rapidement le correctif fourni par le fournisseur. Le fournisseur conseille également aux clients avec un abonnement à la prévention des menaces de contrecarrer les attaques exploitant la faille en employant les ID de menace 95187, 95189 et 95191 tout en s’assurant que des mesures de protection contre les vulnérabilités ont été mises en œuvre. Palo Alto Networks a également créé une commande CLI spécifique pour que les utilisateurs vérifient instantanément tout signe d’intrusion, qui peut être trouvée dans le conseil aux utilisateurs du fournisseur concerné.
Avec la divulgation publique du code PoC de CVE-2024-3400 et les risques croissants d’attaques in-the-wild, la nouvelle vulnérabilité zero-day découverte nécessite une ultra-réactivité des défenseurs. L’ inspecteur d’attaques de SOC Prime offre une solution SaaS proactive pour optimiser continuellement le positionnement en cybersécurité de l’organisation avec la validation automatisée de la pile de détection et les capacités avancées de chasse aux menaces, permettant aux équipes d’enquêter sur les incidents plutôt que sur des flux d’alertes interminables et de réduire efficacement les angles morts dans la couverture de détection.
