Palo Alto Networks a informé ses clients mercredi qu’il avait corrigé deux vulnérabilités très graves dans PAN-OS, le logiciel exécuté sur les pare-feu de la société.

Sur la base de leur score CVSS, la plus grave des failles est CVE-2020-2034, qui affecte le portail GlobalProtect et permet à un attaquant non authentifié disposant d’un accès réseau au système ciblé d’exécuter des commandes arbitraires du système d’exploitation avec des autorisations root.

« Un attaquant aurait besoin d’un certain niveau d’informations spécifiques sur la configuration d’un pare-feu impacté ou effectuerait des attaques par force brute pour exploiter ce problème », a déclaré le vendeur dans son avis.

La faiblesse ne peut être exploitée que si la fonction GlobalProtect est activée. La société affirme que les services Prisma Access ne sont pas affectés et les versions PAN-OS qui corrigent CVE-2020-2021, une vulnérabilité critique qui a été révélée récemment, corrigent également cette faille.

La deuxième vulnérabilité de haute gravité est suivie comme CVE-2020-2030 et elle permet à un attaquant disposant d’un accès administrateur à l’interface de gestion PAN-OS d’exécuter des commandes OS arbitraires avec les privilèges root.

Palo Alto Networks indique que les deux vulnérabilités ont été découvertes en interne et qu’il n’y a aucune preuve d’exploitation malveillante. Cependant, un chercheur a noté que des dizaines de milliers d’appareils pouvaient être vulnérables aux attaques.

La société a également informé ses clients qu’elle avait corrigé deux vulnérabilités de gravité moyenne dans PAN-OS: une qui pouvait être exploitée par un attaquant authentifié disposant de privilèges d’administrateur pour les attaques par déni de service (DoS), et une liée à l’utilisation de la protocole TLS 1.0 obsolète pour certaines communications entre les services fournis dans le cloud et PAN-OS.

Ces vulnérabilités ne semblent pas aussi dangereuses que CVE-2020-2021, que Palo Alto Networks a corrigé fin juin et qui permet à un attaquant du réseau de contourner l’authentification. Peu de temps après la publication d’un correctif, U.S. Cyber ​​Command