Retour au blog
Palo AltoPAN-OSNGFWCVE-2024-3400firewallGlobalProtect

Palo Alto PAN-OS : CVE critiques et sécurisation des firewalls NGFW

PAN-OS, le système d'exploitation des firewalls Palo Alto, concentre des vulnérabilités critiques régulièrement exploitées. Tour d'horizon des CVE majeures et bonnes pratiques.

23 avril 20264 min de lecture

Les firewalls Palo Alto Networks sont réputés pour leur sécurité avancée. Pourtant, comme tout équipement exposé sur internet, PAN-OS — leur système d'exploitation — est régulièrement touché par des vulnérabilités critiques. En 2024, une zero-day a provoqué une crise mondiale dans les équipes sécurité.

PAN-OS : un système omniprésent

PAN-OS équipe les firewalls Next-Generation (NGFW) de Palo Alto Networks, utilisés par des milliers d'entreprises comme première ligne de défense. Ses composants clés — GlobalProtect (VPN), Panorama (management), et le portail d'administration — sont régulièrement exposés à internet et donc ciblés.

CVE-2024-3400 : la zero-day de 2024 (CVSS 10.0)

La vulnérabilité

En avril 2024, Palo Alto Networks divulguait CVE-2024-3400 — une injection de commandes OS dans la fonctionnalité GlobalProtect Gateway de PAN-OS. Score CVSS maximum : 10.0.

Un attaquant non authentifié peut créer des fichiers avec des noms spécialement forgés via l'interface GlobalProtect, déclenchant une exécution de commandes arbitraires avec les privilèges root.

Versions affectées :

  • PAN-OS 10.2 (< 10.2.9-h1)
  • PAN-OS 11.0 (< 11.0.4-h1)
  • PAN-OS 11.1 (< 11.1.2-h3)

Condition : GlobalProtect Gateway ET télémétrie de l'appareil tous les deux activés.

Exploitation en zero-day

Le groupe UTA0218 (attribué à un État-nation) exploitait CVE-2024-3400 depuis mi-mars 2024 — trois semaines avant la divulgation. Les attaquants déployaient un backdoor Python baptisé UPSTYLE pour :

  • Maintenir un accès persistant
  • Exfiltrer les configurations et credentials VPN
  • Pivoter vers les réseaux internes des victimes

L'opération a été baptisée "Operation MidnightEclipse" par Palo Alto Unit 42.

Workaround immédiat

Avant le patch, Palo Alto a fourni un workaround :

Désactiver la télémétrie de l'appareil :
Device → Setup → Telemetry → décocher toutes les options

CVE-2022-0028 : amplification DDoS (CVSS 8.6)

Une mauvaise configuration dans PAN-OS permettait d'utiliser des firewalls Palo Alto comme amplificateurs d'attaques DDoS réfléchies. Un attaquant pouvait envoyer des requêtes forgées au firewall pour générer un trafic de réponse amplifié vers une cible tierce.

Affectait PAN-OS 8.1, 9.0, 9.1, 10.0, 10.1, 10.2 avec des politiques de sécurité spécifiques.

CVE-2021-3064 : RCE dans GlobalProtect (CVSS 9.8)

Un buffer overflow dans le portail GlobalProtect permettait une exécution de code à distance pré-authentifiée. Affectait PAN-OS 8.1 avec GlobalProtect activé.

CVE-2020-2021 : Auth Bypass dans SAML (CVSS 10.0)

Un contournement d'authentification critique dans la vérification SAML de PAN-OS. Affectait tous les équipements utilisant l'authentification SSO via SAML, permettant à n'importe qui de s'authentifier sans credentials valides.

La NSA et la CISA avaient émis une alerte conjointe sur cette vulnérabilité, largement exploitée par des groupes APT russes (Fancy Bear / APT28).

Surveiller les CVE PAN-OS

Vérifier la version en cours

# Via CLI PAN-OS
show system info | match sw-version

Sources d'information

  • Palo Alto Security Advisories : security.paloaltonetworks.com
  • Unit 42 Threat Research : unit42.paloaltonetworks.com
  • CISA Known Exploited Vulnerabilities : cisa.gov/known-exploited-vulnerabilities

Bonnes pratiques de sécurisation PAN-OS

1. Restreindre l'accès à l'interface de management

N'exposez JAMAIS l'interface d'administration (port 443/4443) sur une interface WAN :

Network → Interfaces → [interface WAN]
Management Profile → Décocher HTTPS, SSH

Utilisez un réseau de management dédié (out-of-band).

2. Désactiver les services inutilisés

Si vous n'utilisez pas GlobalProtect :

Network → GlobalProtect → Portals → Désactiver
Network → GlobalProtect → Gateways → Désactiver

3. Activer les mises à jour automatiques de contenu

Device → Dynamic Updates → PAN-OS Software → Schedule

Les mises à jour de contenu (signatures, threat prevention) doivent être automatiques même si les mises à jour PAN-OS nécessitent une fenêtre de maintenance.

4. Activer Threat Prevention sur toutes les politiques

La puissance de PAN-OS vient de ses profils de sécurité. Assurez-vous que Threat Prevention est actif sur toutes les politiques de trafic internet.

5. Utiliser Panorama pour la gestion centralisée

Panorama permet de déployer des patches sur tous vos firewalls simultanément, réduisant la fenêtre d'exposition.

Panorama et les CVE de management

L'interface Panorama a aussi ses propres vulnérabilités :

  • CVE-2024-0008 : Auth bypass dans Panorama (CVSS 9.8) — 2024
  • CVE-2022-0030 : Auth bypass dans Panorama (CVSS 9.8)

Si Panorama est exposé sur internet, il représente un risque supplémentaire.

Enregistrez vos appliances Palo Alto dans votre parc sur cveo.tech pour être alerté dès qu'une nouvelle CVE PAN-OS est publiée.

Surveillez les CVE avec l'IA

Recherche IA, scoring CVSS, surveillance de parc et alertes automatiques.

Essayer la recherche IA →Créer un compte gratuit

Articles similaires

Comment suivre les vulnérabilités CVE de son parc informatique

Guide complet pour surveiller et gérer les CVE affectant votre parc informatique : méthodes, outils et bonnes pratiques pour les équipes IT et RSSI.

Guide du patch management : comment traiter les CVE rapidement et efficacement

Découvrez comment mettre en place un processus de patch management CVE robuste : SLA par sévérité, étapes clés, outils et erreurs à éviter pour protéger votre SI.

Les meilleurs outils CVE en 2026 : comparatif complet

Comparatif des meilleurs outils de gestion et surveillance CVE en 2026 : solutions open source, plateformes SaaS, scanners. Quel outil choisir selon votre contexte ?