La société américaine de cybersécurité Palo Alto Networks a averti ses clients mercredi que certains de ses produits de pare-feu, VPN et XDR sont vulnérables à un bug de boucle infinie OpenSSL de haute gravité révélé il y a trois semaines.
Les auteurs de menaces peuvent exploiter cette vulnérabilité de sécurité (suivie sous le nom cve-2022-0778) pour déclencher un état de déni de service et bloquer à distance les appareils exécutant des logiciels non corrigés.
Même si l’équipe OpenSSL a publié un correctif il y a deux semaines lorsqu’elle a révélé publiquement le bogue, les clients devront attendre plus tard ce mois-ci (au cours de la semaine du 18 avril) lorsque Palo Alto Networks prévoit de publier des mises à jour de sécurité.
« PAN-OS, l’application GlobalProtect et le logiciel agent Cortex XDR contiennent une version vulnérable de la bibliothèque OpenSSL et la disponibilité du produit est affectée par cette vulnérabilité. Pour les logiciels PAN-OS, cela inclut à la fois les pare-feu matériels et virtuels et les appliances Panorama, ainsi que les clients prisma Access », a déclaré la société.
« Cette vulnérabilité a réduit la gravité de l’agent Cortex XDR et de l’application GlobalProtect, car une exploitation réussie nécessite une attaque par un attaquant du milieu (MITM). »
Le bogue affecte PAN-OS 8.1 et les versions ultérieures et toutes les versions de l’application GlobalProtect et de l’agent Cortex XDR.
Le fournisseur de cybersécurité a ajouté que cette vulnérabilité n’a pas d’impact sur ses produits Prisma Cloud et Cortex XSOAR.
Atténuation disponible pour certains clients
Alors que les correctifs PAN-OS sont encore en cours de développement, les clients disposant d’abonnements Threat Prevention peuvent activer les ID de menace 92409 et 92411 pour bloquer les attaques connues pour cette vulnérabilité et « réduire le risque d’exploitation à partir d’exploits connus ».
Heureusement, même si des exploits de preuve de concept sont disponibles en ligne, Palo Alto Networks n’a aucune preuve d’exploitation de ce problème sur aucun de ses produits.
Bien que les attaquants puissent abuser de la faille de boucle infinie OpenSSL dans des attaques de faible complexité sans interaction de l’utilisateur, l’équipe OpenSSL affirme que l’impact d’une exploitation réussie se limite au déclenchement d’un déni de service.
« La faille n’est pas trop difficile à exploiter, mais l’impact se limite au DoS. Le scénario le plus courant où l’exploitation de cette faille serait un problème serait pour un client TLS accédant à un serveur malveillant qui sert un certificat problématique », a déclaré un porte-parole d’OpenSSL à BleepingComputer.
« Les serveurs TLS peuvent être affectés s’ils utilisent l’authentification client (qui est une configuration moins courante) et qu’un client malveillant tente de s’y connecter. Il est difficile de deviner dans quelle mesure cela se traduira par une exploitation active. »
La semaine dernière, le fabricant de stockage en réseau (NAS) QNAP a également averti ses clients que ce bogue OpenSSL DoS affectait la plupart de ses périphériques NAS, avec un correctif à publier dès que possible.
source : bleepingcomputer
