Palo Alto Networks - CVE-2024-5921

Contournement de la politique de sécurité
Élévation de privilèges

La vulnérabilité exploitée est du type
CWE-295: Improper Certificate Validation

Détails sur l'exploitation
•    Vecteur d'attaque : Local
•    Complexité de l'attaque : Faible
•    Privilèges nécessaires pour réaliser l'attaque : Authentification utilisateur simple
•    Interaction d'un utilisateur ayant accès au produit est-elle nécessaire : Non
•    L'exploitation de la faille permet d'obtenir des droits privilégiés : Non

Preuve de concept
Une preuve de concept est disponible en sources ouvertes.

Il est possible d’empêcher l’exploitation de cette vulnérabilité sur Windows, macOS, Linux, iOS ou Android, en utilisant l'application GlobalProtect 6.0 en mode FIPS-CC ou l'application GlobalProtect 5.1 en mode FIPS-CC.

Mettre à jour GlobalProtect App vers la version 6.2.6 sur Windows ou ultérieure.

Plusieurs étapes sont nécessaires afin de déployer ce correctif sur Windows. Il faut s’assurer en amont que les portails GlobalProtect utilisent des chaînes de certificats TLS contenant uniquement des certificats X.509v3 valides. S’assurer également que les chaînes de certificats TLS utilisées par les portails GlobalProtect sont ajoutées au magasin de certificats racine du système d'exploitation.

Méthode 1 :
-    Installer une version corrigée de l’application GlobalProtect,
-    Mettre à jour la clé de registre suivante avec les valeurs spécifiées :
     o    HKEY_LOCAL_MACHINE\SOFTWARE\Palo Alto Networks\GlobalProtect\Settings cert-store : machine cert-location : ROOT full-chain-cert-verify : yes
-    Redémarrer le système.

Méthode 2 :
-    Installer GlobalProtect avec la clé de pré-déploiement FULLCHAINCERTVERIFY définie sur Oui :
     o    msiexec.exe /i GlobalProtect64.msi FULLCHAINCERTVERIFY="yes"

Des informations complémentaires sont disponibles dans le bulletin de Palo Alto.