Les administrateurs de pare-feux de Palo Alto Networks sous sous pression après la découverte la semaine dernière d'une nouvelle faille dans PAN-OS. Ils doivent donc s'assurer que les dispositifs sont entièrement corrigés et que l'interface de gestion est bloquée pour empêcher tout accès à Internet ouvrant la voie à un contournement de l'authentification de connexion dans ce système d'exploitation pour firewalls. Les chercheurs de Greynoise ont confirmé que la vulnérabilité référencée CVE-2025-0108, découverte par des chercheurs d'Assetnote, est toujours exploitée. Palo Alto Networks explique que les administrateurs peuvent « réduire considérablement le risque » d'exploitation en limitant l'accès à l'interface web de gestion aux seules adresses IP internes de confiance, conformément à ses lignes directrices de déploiement des meilleures pratiques recommandées. « Cette limitation garantit que les attaques ne peuvent réussir que si elles obtiennent un accès privilégié via ces adresses IP spécifiées », a déclaré le fournisseur. Les experts en sécurité mettent régulièrement en garde les administrateurs de réseau et les professionnels de l’IT contre les dangers liés à l'exposition des interfaces de gestion des appareils ouvert sur l'Internet. Il est possible de les protéger soit en y accédant via un réseau privé virtuel (VPN), soit en restreignant l'accès aux seules adresses IP internes.

Trouver les équipements à risque

Pour savoir quels actifs nécessitent une remédiation, Palo Alto Networks indique que les administrateurs doivent se rendre dans la section Assets de son portail de support client « Customer Support Portal » et rechercher la section Remédiation requise/Remediation Required. Une liste des dispositifs ayant une interface de gestion orientée vers Internet et marqués « PAN-SA-2024-0015 » s'affichera. Si aucun dispositif n'est répertorié, c'est qu’il n’y a aucun actif avec une interface de gestion orientée vers Internet. À noter que si un profil de gestion a été configuré sur les interfaces avec les portails ou les passerelles GlobalProtect, un dispositif PAN est exposé via l'interface web de gestion, généralement accessible sur le port 4443. Le problème n'affecte pas les logiciels Cloud NGFW ou Prisma Access de Palo Alto Networks. Selon Greynoise, l'exploitation a commencé aux alentours du mardi 11 février. Assetnote a publié une recherche sur la faille le mercredi suivant. Palo Alto Networks a publié son avis le même jour.

Un comportement étrange dans le traitement des chemins d'accès

Assetnote fait remarquer que la vulnérabilité se traduit par un « comportement bizarre de traitement de chemin » dans la partie serveur HTTP Apache de PAN-OS, qui, avec Nginx, traite les requêtes web pour accéder à l'interface de gestion de PAN-OS. La requête web frappe d'abord le proxy inverse Nginx, et si elle est sur un port qui indique qu'elle est destinée à l'interface de gestion, PAN-OS définit plusieurs en-têtes. Le plus important d'entre eux est X-pan AuthCheck. La configuration de Nginx passe ensuite par plusieurs contrôles de localisation et désactive sélectivement le contrôle d'authentification. La requête est ensuite transmise à Apache, qui la renormalise et la traite à nouveau, et applique une règle de réécriture sous certaines conditions. Si le fichier demandé est un fichier PHP, Apache transmettra alors la requête via mod_php FCGI, qui applique l'authentification sur la base de l'en-tête. Le problème est qu'Apache peut traiter le chemin ou les en-têtes différemment de Nginx avant que la demande d'accès ne soit transmise à PHP, de sorte que s'il existe une différence dans le traitement de la demande par Nginx et par Apache, un attaquant pourrait parvenir à contourner l'authentification. Assetnote décrit cela comme un problème d'architecture « assez courant » où l'authentification est appliquée au niveau d'une couche proxy, mais où la requête est ensuite transmise à une deuxième couche avec un comportement différent. « Fondamentalement, ces architectures conduisent à la contrebande d'en-têtes ou Header Smuggling et à la confusion des chemins, ce qui peut entraîner de nombreux bogues avec un potentiel impact.