Résumé

Une vulnérabilité critique (CVSS 10.0) permet l’exécution de code à distance sans authentification sur les firewalls Palo Alto exposant le portail GlobalProtect sur Internet. Palo Alto Networks confirme l’exploitation active par des acteurs étatiques.

Versions affectées

  • PAN-OS 11.1 < 11.1.4
  • PAN-OS 11.0 < 11.0.6
  • PAN-OS 10.2 < 10.2.11

Actions immédiates

Action requise
Patcher immédiatement ou désactiver temporairement le portail GlobalProtect si le patch ne peut pas être appliqué dans les 24h. Vérifier les logs d’accès GlobalProtect pour des IOCs.
PAN-OS — Vérification IOC bash

# Rechercher des requêtes suspectes dans les logs GlobalProtect
grep &#34;GlobalProtect&#34; /var/log/pan/gp*.log | \
  grep -E &#34;(/../|%2e%2e|cmd=|exec)&#34; | \
  tail -100

# Vérifier la version PAN-OS
show system info | grep sw-version

Références