Les administrateurs PAN ont exhorté à bloquer l’accès Internet ouvert aux interfaces de gestion des pare-feu après la découverte de la vulnérabilité.
Les administrateurs avec des pare-feu de Palo Alto Networks doivent s’assurer que les appareils sont entièrement corrigés et l’interface de gestion bloquée contre l’accès ouvert Internet après la découverte cette semaine d’une contournement d’authentification de connexion zéro-jour dans le système d’exploitation Pan-OS.
La découverte de la vulnérabilité (CVE-2025-0108) a été faite par des chercheurs d’AssetNote et, selon des chercheurs de Greynoise, est déjà exploité.
Pour sa part, Palo Alto Networks (PAN) a déclaré que les administrateurs peuvent «réduire considérablement le risque» d’exploitation en restreignant l’accès à l’interface Web de gestion aux adresses IP internes de confiance, selon ses directives de déploiement des meilleures pratiques recommandées. « Cela garantira que les attaques ne peuvent réussir que s’ils obtiennent un accès privilégié via les adresses IP spécifiées », a déclaré la société.
Les experts en sécurité avertissent régulièrement les administrateurs du réseau et les professionnels de l’infosec sur les dangers d’exposer les interfaces de gestion des appareils à Internet ouvert. Une façon de les protéger est d’y accéder via un réseau privé virtuel (VPN), tandis qu’un autre est en restreignant l’accès aux adresses IP internes.
Trouver des appareils à risque
Pour trouver des actifs qui nécessitent une correction, Pan dit que les administrateurs devraient se rendre à la section des actifs de son portail de support client et rechercher la section rejetée requise. Une liste des appareils qui ont une interface de gestion orientée sur Internet et taguée avec «PAN-SA-2024-0015» seront affichées. Si aucun appareils n’est répertorié, aucun n’a une interface de gestion orientée sur Internet.
Notez que si un profil de gestion sur les interfaces avec les portails ou les passerelles GlobalProtect a été configuré, un périphérique PAN est exposé via l’interface Web de gestion, qui est généralement accessible sur le port 4443.
Le problème n’affecte pas le logiciel Cloud NGFW ou Prisma Access de l’entreprise.
Greynoise a déclaré que l’exploitation avait commencé mardi de cette semaine. AssetNote a publié des recherches sur le trou mercredi. Palo Alto Networks a publié son avis le même jour.
« Un comportement de traitement du chemin »
La vulnérabilité, a déclaré AssetNote, est un «comportement de traitement de chemin étrange» dans la partie du serveur HTTP Apache HTTP de Pan-OS, qui, avec Nginx, gère les demandes Web pour accéder à l’interface de gestion Pan-OS. La demande Web frappe d’abord le proxy inversé NGINX, et s’il se trouve sur un port qui indique qu’il est destiné à l’interface de gestion, Pan-OS définit plusieurs en-têtes; Le plus important d’entre eux est X-Pan AuthCheck. La configuration Nginx passe ensuite par plusieurs vérifications de localisation et définit sélectivement la vérification de l’automne. La demande est ensuite procassée à Apache, qui reformalisera et réorganisera la demande et appliquera une règle de réécriture dans certaines conditions. Si le fichier demandé est un fichier PHP, Apache passera alors la demande via MOD_PHP FCGI, qui applique l’authentification en fonction de l’en-tête.
Le problème est qu’Apache peut traiter le chemin ou les en-têtes différemment de Nginx avant que la demande d’accès ne soit remise à PHP, donc s’il y a une différence entre ce à quoi Nginx pense qu’une demande ressemble et à quoi ressemble Apache, un attaquant pourrait réaliser un contournement d’authentification.
AssetNote décrit cela comme un problème d’architecture «assez commun» où l’authentification est appliquée à une couche proxy, mais la demande est ensuite transmise à travers une deuxième couche avec un comportement différent. « Fondamentalement », a ajouté la note de recherche, « ces architectures conduisent à la contrebande de tête et à la confusion de chemin, ce qui peut entraîner de nombreux bogues percutants. »
