\[Mise à jour du 10 mai 2024\] Le CERT-FR est intervenu pour le traitement d'une compromission par rançongiciel au sein d'une entité fr…"/> \[Mise à jour du 10 mai 2024\] Le CERT-FR est intervenu pour le traitement d'une compromission par rançongiciel au sein d'une entité fr…"/> \[Mise à jour du 10 mai 2024\] Le CERT-FR est intervenu pour le traitement d'une compromission par rançongiciel au sein d'une entité fr…"/>
VDB

CERTFR-2024-ALE-006

CERTFR-2024-ALE-006 PUBLISHED CVSS 10 CRITICAL

<span style="color: #ff0000;"><strong>\[Mise à jour du 10 mai 2024\]</strong> </span><strong>Le CERT-FR est intervenu pour le traitement d'une compromission par rançongiciel au sein d'une entité française. Dans le cadre de cette attaque, la vulnérabilité a été exploitée pour ensuite réaliser une latéralisation dans le système d'information de la victime et déployer le rançongiciel.</strong> Par ailleurs, l'éditeur recommande l'ouverture d'un dossier de support et l'exécution d'une v<span style="text-decoration: underline;">ersion améliorée de la remise en état d'usine</span> (*enhanced factory reset*) \[6\] dans le cas où un équipement n'aurait pas été mis à jour avant le 25 avril 2024 ou si l'éventualité d'une compromission persistante ne peut pas être écartée après investigation.   <span style="color: #000000;"><strong>\[Mise à jour du 26 avril 2024\]</strong> </span> <span style="text-decoration: underline;">Note importante :</span> Si un équipement a déjà été compromis, l'application du correctif de sécurité ne suffit pas. Si des investigations n'ont pas été réalisées, <span style="text-decoration: underline;">elles doivent être faites</span> pour s'assurer que l'équipement n'a pas été compromis avant sa mise à jour. En effet, dans ce cas, une remise en état d'usine sera requis. <span style="color: #ff0000;"><strong><span style="color: #000000;">\[Mise à jour du 25 avril 2024\]</span></strong> </span> <span style="color: #000000;">Le CERT-FR a pris connaissance de cas d'exploitation de cette vulnérabilité par des acteurs rançongiciels.</span> <span style="color: #000000;">Par ailleurs, les mesures de remédiation ont fait l'objet d'une clarification : la remise en état d'usine (*factory reset*) est fortement recommandée dans tous les cas, sauf contre-ordre explicite de l’éditeur.</span>   <span style="color: #ff0000;"><strong><span style="color: #000000;">\[Mise à jour du 19 avril 2024\] Ajout de mesures de remédiation</span> </strong></span> ### Détection de la compromission Il est recommandé de faire une demande d'assistance auprès de Palo Alto Networks au travers du portail de support (*Customer Support Portal, CSP*) en transmettant un *technical support file* (TSF) pour déterminer si les journaux de l'équipement contiennent des traces de tentatives d'exploitation de la vulnérabilité (\[1\]). Le fichier TSF contient des données sensibles et doit être stocké et transmis avec précautions. De plus, le CERT-FR recommande également la recherche des éléments de compromission (adresses IP et condensats de fichiers) décrits dans \[1\], \[2\] et \[3\]. ### Mesures d'endiguement En cas de suspicion ou de compromission avérée de l'équipement, les étapes suivantes doivent être suivies : 1. Isoler l’équipement d'Internet, sans l'éteindre ; 2. Si l’équipement est une machine virtuelle, prendre un instantané (*snapshot*) incluant la mémoire vive à des fins d’investigation - Sinon, exporter les journaux pour éviter leur rotation ; 3. Parallèlement, identifier les comptes du domaine Active Directory qui seraient configurés sur l'équipement suspecté. Réinitialiser les secrets associés à ces comptes afin d'éviter que l'attaquant ne puisse réutiliser ailleurs les identifiants éventuellement volés sur l'équipement. ### Étapes d'investigation 1. Contacter le support Palo Alto Networks pour qu'il investigue le fichier TSF préalablement exporté - Le support voudra potentiellement se connecter à l'équipement pour approfondir l'investigation. Il faudra alors rétablir l'accès Internet au strict nécessaire ; 2. Rechercher sur l’équipement des comptes à privilège ajoutés illégitimement ; 3. En parallèle, rechercher dans les journaux du réseau (pare-feu, netflow, DNS) les traces de communications inhabituelles initiées depuis l'équipement ; 4. Rechercher dans les journaux de connexion des systèmes internes des traces de connexion (applicative ou système) provenant de l'adresse IP de gestion de l'équipement. ### Remédiation Les étapes de remédiations suivantes doivent être suivies. Le support Palo Alto Networks est également susceptible de communiquer un processus de remédiation. 1. Exporter la configuration ; 2. Réaliser une remise en état d'usine (*Factory Reset*), sauf contre-ordre explicite de l'équipe support de l'éditeur ; <span style="color: #000000;">(mise à jour du 25 avril 2024)</span> 3. Mettre à jour l'équipement jusqu'à la version contenant le dernier correctif de sécurité ; 4. Réimporter la configuration ; 5. Renouveler la clé de chiffrement principale (*Master Key*) \[5\] ; 6. Renouveler les secrets d'authentification de l'équipement et révoquer les anciens certificats. <span style="color: #000000;"><strong>\[Mise à jour du 18 avril 2024\] Le CERT-FR a connaissance d'incidents liés à l'exploitation de la vulnérabilité. </strong></span> Le CERT-FR a connaissance de plusieurs compromissions avérées en lien avec la vulnérabilité. Cette alerte sera mise à jour avec des compléments d'information. <strong>\[Mise à jour du 17 avril 2024\]</strong> <strong><span class="mx_EventTile_body markdown-body" dir="auto">Le CERT-FR a connaissance de codes d'exploitation publics et de tentatives d'exploitation</span></strong><span style="color: #ff0000;"><strong> </strong></span> Le CERT-FR a connaissance de codes d'exploitation publics et de tentatives d'exploitation qui pourraient évoluer vers des exploitations massives de la vulnérabilité. Le CERT-FR recommande donc de déployer les correctifs diffusés par l'éditeur dans les meilleurs délais. Veuillez vous référer à la section "Solution" pour plus de détails. <strong>\[Publication initiale\]</strong> Une vulnérabilité a été découverte dans la fonctionnalité GlobalProtect de Palo Alto Networks PAN-OS. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance. L'éditeur indique que la vulnérabilité CVE-2024-3400 est exploitée dans des attaques ciblées.

Risk Scores

CVSS 3.1
10
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

Affected Products

VendorProductVersions
Palo Alto NetworksPAN-OS11.1.0, 9.1.0, 10.0.0
Palo Alto NetworksPrisma AccessAll
Palo Alto NetworksCloud NGFWAll
paloaltonetworkspan-os11.0.0, 11.1.0, 10.2.0

Timeline

  • Apr 11, 2024 CVE Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
  • Apr 12, 2024 PoC Published
$ Console Community · 100/wk Open console ›