Siemens exhorte les organisations utilisant ses appareils Ruggedcom APE1808 configurés avec le NGFW virtuel de Palo Alto Networks (PAN) à mettre en œuvre des solutions de contournement pour un bug de gravité maximale de type Zero Day que PAN a récemment divulgué dans son produit de pare-feu de nouvelle génération.
La vulnérabilité d'injection de commande, identifiée comme CVE-2024-3400, affecte plusieurs versions des pare-feu PAN-OS lorsque certaines fonctionnalités y sont activées. Un attaquant a exploité cette faille pour déployer une nouvelle porte dérobée Python sur les pare-feu concernés.
Activement exploité
PAN a corrigé la faille après que des chercheurs de Volexity ont découvert la vulnérabilité et l'ont signalée au fournisseur de sécurité plus tôt ce mois-ci. L'Agence américaine de cybersécurité et de sécurité des infrastructures (CISA) a ajouté CVE-2024-3400 à son catalogue de vulnérabilités exploitées connues à la suite de rapports faisant état de plusieurs groupes attaquant la faille.
Palo Alto Networks lui-même l'a déclaré conscient du nombre croissant d'attaques tirant parti de CVE-2024-3400 et a mis en garde contre le fait que le code de preuve de concept de la faille soit accessible au public.
Selon Siemens, son produit Ruggedcom APE1808, couramment déployé comme dispositifs de pointe dans les environnements de contrôle industriel, est vulnérable au problème. Siemens a décrit toutes les versions du produit avec PAN Virtual NGFW configuré avec la passerelle GlobalProtect ou le portail GlobalProtect – ou les deux – comme affectées par la vulnérabilité.
Dans un avis, Siemens a déclaré qu'il travaillait sur des mises à jour pour le bug et a recommandé des contre-mesures spécifiques que les clients devraient prendre entre-temps pour atténuer les risques. Les mesures incluent l'utilisation d'identifiants de menace spécifiques que PAN a publiés pour bloquer les attaques ciblant la vulnérabilité. L'avis de Siemens a souligné la recommandation de PAN de désactiver la passerelle GlobalProtect et le portail GlobalProtect, et a rappelé aux clients que les fonctionnalités sont déjà désactivées par défaut dans les environnements de déploiement Ruggedcom APE1808.
PAN a également initialement recommandé aux organisations de désactiver la télémétrie des appareils pour se protéger contre les attaques ciblant la faille. Le fournisseur de sécurité a ensuite retiré cet avis, invoquant son inefficacité. "La télémétrie des appareils n'a pas besoin d'être activée pour que les pare-feu PAN-OS soient exposés aux attaques liées à cette vulnérabilité", a noté la société.
Siemens a exhorté ses clients, en règle générale, à protéger l'accès réseau aux appareils dans les environnements de contrôle industriel avec des mécanismes appropriés, en déclarant : « Afin de faire fonctionner les appareils dans un environnement informatique protégé, Siemens recommande de configurer l'environnement conformément aux directives opérationnelles de Siemens. pour la sécurité industrielle.
La Shadowserver Foundation, qui surveille Internet à la recherche du trafic lié aux menaces, identifié quelque 5,850 XNUMX instances vulnérables des NGFW de PAN exposés et accessibles sur Internet au 22 avril. Quelque 2,360 1,800 des instances vulnérables semblent être situées en Amérique du Nord ; L'Asie représente le deuxième chiffre le plus élevé avec environ XNUMX XNUMX cas exposés.
Les appareils exposés à Internet restent un risque critique pour ICS/OT
On ne sait pas exactement combien de ces instances exposées se trouvent dans des paramètres de système de contrôle industriel (ICS) et de technologie opérationnelle (OT). Mais d’une manière générale, l’exposition à Internet reste un problème majeur dans les environnements ICS et OT. UN nouvelle enquête de Forescout a découvert près de 110,000 27 systèmes ICS et OT connectés à Internet dans le monde. Les États-Unis ont ouvert la voie, représentant XNUMX % des cas exposés. Ce chiffre est toutefois nettement inférieur à celui d’il y a quelques années. En revanche, Forescout a constaté une forte augmentation du nombre d’équipements ICS/OT exposés à Internet dans d’autres pays, notamment en Espagne, en Italie, en France, en Allemagne et en Russie.
« Les attaquants opportunistes abusent de plus en plus de cette exposition à grande échelle – parfois avec une logique de ciblage très laxiste motivée par des tendances, telles que les événements actuels, les comportements de copie ou les urgences trouvées dans les nouvelles fonctionnalités disponibles dans le commerce ou les guides de piratage », a déclaré Forescout. . Le fournisseur de sécurité a estimé que l'exposition était due au moins en partie au fait que les intégrateurs de systèmes fournissaient des packages contenant des composants qui exposaient par inadvertance les systèmes ICS et OT à Internet. « Selon toute vraisemblance », a déclaré Forescout, « la plupart des propriétaires d’actifs ignorent que ces unités emballées contiennent des dispositifs OT exposés ».
- Contenu propulsé par le référencement et distribution de relations publiques. Soyez amplifié aujourd'hui.
- PlatoData.Network Ai générative verticale. Autonomisez-vous. Accéder ici.
- PlatoAiStream. Intelligence Web3. Connaissance Amplifiée. Accéder ici.
- PlatonESG. Carbone, Technologie propre, Énergie, Environnement, Solaire, La gestion des déchets. Accéder ici.
- PlatoHealth. Veille biotechnologique et essais cliniques. Accéder ici.
- La source: https://www.darkreading.com/ics-ot-security/siemens-working-on-fix-for-device-affected-by-palo-alto-firewall-bug
