Vulnérabilité critique concernant les pare-feux Palo Alto Networks PA-7000

Date de publication :

Une vulnérabilité critique a été signalée par Palo Alto Networks permettant à un attaquant distant d’obtenir un accès root sur les pare-feux de la série PA-7000.

CVE-2019-17440[Score CVSS v3 : 10]: Cette vulnérabilité est due à une mauvaise restriction des communications entre le module LFC (Log Forwarding Card) utilisé pour envoyer les journaux vers des systèmes de journalisation externes, et le module SMC (Switch Management Card) utilisé pour effectuer les opérations de configuration et de maintenance. 

Les détails techniques de la vulnérabilité n'ont pas été divulgués, mais les conditions spécifiques de l'exploitation sont les suivantes : 

  • Le système d'exploitation PAN-OS version 9.0 avant 9.0.5-h3 doit être présent sur les pare-feux Palo Alto Network PA-7000. 
  • Une carte LFC doit être installée et configurée. 
  • La carte SMC doit être une carte de deuxième génération.
  • L’attaquant doit avoir un accès au réseau de la carte LFC.

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Compromission du système à distance

Criticité

  • Score CVSS v3 : 10

Existence d’un code d’exploitation de la vulnérabilité

  • Aucun

Composants & versions vulnérables: 

  • Versions PAN-OS 9.0 antérieures à 9.0.5-h3 sur la série PA-7000 avec une carte SMC de deuxième génération et une carte LFC installée et configurée.

CVE

Solutions ou recommandations

Mise en place de correctif de sécurité 

  • Mettre à jour PAN-OS à la version 9.0.5-h3 ou une à version plus récente. 

Solution de contournement

Les solutions suivantes sont proposées pour empêcher l’exploitation de la vulnérabilité en attendant de mettre à jour les produits impactés : 

  • Configurer les politiques de sécurité pour empêcher les sessions réseau destinées au LFC
  • S’assurer que la carte LFC est uniquement connecté à un réseau administratif sécurisé dont l'accès est limité aux utilisateurs de confiance.
  • Désactiver ou déconnecter la carte LFC du réseau jusqu'à ce que les corrections puissent être appliquées.

Liens