Vulnérabilité dans Palo Alto PAN-OS

Date de publication :

Une vulnérabilité a été découverte dans PAN-OS, le système d’exploitation utilisé par Palo Alto dans leurs équipements réseau. Un attaquant distant exploitant cette vulnérabilité peut provoquer un déni de service via le plantage d’un des services du système, voire exécuter du code arbitraire.

CVE-2020-1992 [Score CVSS v3 : 8.1] : Une vulnérabilité de type “format string bug” a été découverte dans le daemon Varrcvr utilisé par PAN-OS. Un attaquant distant exploitant cette vulnérabilité peut provoquer un plantage du daemon, menant à une situation de déni de service, voire exécuter du code arbitraire. Cette vulnérabilité n’affecte que la série PA-7000 disposant d’une “Log Forwarding Card” (LFC).

Informations

La faille est activement exploitée :

Un correctif existe :

Une mesure de contournement existe :

Risques

Risques

  • Déni de service
  • Exécution de code arbitraire

Criticité

  • Score CVSS v3 : 8.1

Existence d’un code d’exploitation

  • Pas de code d’exploitation disponible publiquement à ce jour

Composants vulnérables

  • PAN-OS sur les appareils PA-7000 series (avec LFC):

    • version 9.0 jusqu’à 9.0.7 (non-incluse)
    • version 9.1 jusqu’à 9.1.2 (non-incluse)

CVE

  • CVE-2020-1992

Solutions ou recommandations

Mise en place de correctifs de sécurité

  • Mettre à jour PAN-OS vers la version 9.0.7 ou 9.1.2 selon la version intermédiaire utilisée

Solution de contournement

  • Aucune solution de contournement n’est disponible

Liens