CISA Signale des Failles de Palo Alto et SonicWall Comme Exploitées

L’Agence de cybersécurité et de sécurité des infrastructures des États-Unis (CISA) a ajouté mardi deux vulnérabilités de sécurité affectant les produits de Palo Alto Networks et de SonicWall à son catalogue des vulnérabilités connues exploitées (KEV), avertissant les organisations d’une exploitation active par des acteurs malveillants.

Les deux vulnérabilités mentionnées ci-dessous, qui sont basées sur des preuves d’exploitation active, sont des vecteurs d’attaque fréquents pour les acteurs malveillants, posant des risques significatifs pour les organisations. Ce sont :

• CVE-2025-0108 (score CVSS : 7.8) – Vulnérabilité de contournement d’authentification de Palo Alto PAN-OS : Cette faille affecte le PAN-OS de Palo Alto Networks, le logiciel fonctionnant sur ses pare-feu de nouvelle génération. La vulnérabilité permet à un attaquant non authentifié de contourner les mécanismes d’authentification et d’accéder de manière non autorisée aux ressources réseau. Exploiter cette vulnérabilité pourrait permettre aux acteurs de la menace d’infiltrer des systèmes sensibles, d’exfiltrer des données ou de déployer d’autres exploits au sein d’un réseau compromis.
• CVE-2024-53704 (score CVSS : 8.2) – Vulnérabilité d’authentification incorrecte de SonicWall SonicOS SSLVPN : Cette faille existe dans la fonctionnalité SSLVPN de SonicOS de SonicWall, qui est utilisée pour un accès à distance sécurisé. Les attaquants peuvent exploiter cette vulnérabilité pour contourner les procédures d’authentification, accordant un accès non autorisé aux réseaux protégés par VPN. Cela permet aux attaquants d’intercepter des messages, de voler l’accès aux ressources internes et de mener des attaques d’escalade de privilèges, ce qui représente une menace massive pour la sécurité des entreprises.

Palo Alto Networks a confirmé l’exploitation active de la vulnérabilité CVE-2025-0108.

La société note qu’elle a observé des tentatives d’exploitation avec d’autres vulnérabilités, telles que CVE-2024-9474 et CVE-2025-0111.

« Palo Alto Networks a observé des tentatives d’exploitation en chaîne de CVE-2025-0108 avec CVE-2024-9474 et CVE-2025-0111 sur des interfaces de gestion web PAN-OS non corrigées et non sécurisées », a déclaré la société dans un avis mis à jour.

Selon la société de cybersécurité GreyNoise, 26 tentatives d’exploitation active ont été réalisées à ce jour ciblant la vulnérabilité de contournement d’authentification CVE-2025-0108. Cette faille a affecté les principaux pays : les États-Unis, la France, l’Allemagne, les Pays-Bas et le Brésil.

D’autre part, Bishop Fox a récemment publié des détails techniques et un exploit de preuve de concept (PoC) pour CVE-2024-53704, un contournement d’authentification de haute gravité dans SonicOS SSLVPN. Peu après la publication du PoC, Arctic Wolf a détecté des tentatives d’exploitation dans la nature.

En réponse à l’exploitation active de ces vulnérabilités, la CISA a ordonné à toutes les agences fédérales civiles exécutives (FCEB), conformément à la directive opérationnelle contraignante (BOD) 22-01 de novembre 2021, d’appliquer les correctifs d’ici le 11 mars 2025, afin d’atténuer les vulnérabilités identifiées et de protéger leurs réseaux contre les menaces potentielles.

Palo Alto Networks et SonicWall, deux des géants majeurs de la sécurité réseau, ont publié des mises à jour et des avis de sécurité pour les utilisateurs affectés.

Les organisations utilisant ces produits doivent s’assurer qu’elles exécutent le dernier firmware et suivent les meilleures pratiques en matière de cybersécurité, y compris la surveillance des activités réseau inhabituelles, la restriction de l’accès aux sources de confiance et la mise en œuvre de stratégies de défense multicouches.