ISGroup Conseil en Cybersécurité

Vulnérabilité d’exécution de code à distance dans l’outil Expedition de Palo Alto Networks (CVE-2025-0107)

CVE-2025-0107 est une vulnérabilité critique dans l’outil de migration Expedition de Palo Alto Networks (version 1.2.101 et antérieures). Cet outil, largement utilisé pour faciliter les migrations vers la plateforme NGFW de Palo Alto Networks, a atteint sa fin de vie (End-of-Life, EoL) le 31 décembre 2024. Bien qu’il ait été conçu pour un usage temporaire, de nombreuses organisations continuent de s’appuyer sur Expedition dans des environnements de production, augmentant ainsi leur exposition au risque d’exploitation.

La vulnérabilité a attiré une attention considérable suite à la divulgation publique des détails techniques et d’un exploit de preuve de concept (PoC) par un chercheur en sécurité en collaboration avec SSD Secure Disclosure. Cette divulgation sensibilise le public, mais accroît également le risque d’exploitation active par des acteurs malveillants.

ProduitExpedition Project
Date21-01-2025 09:35:16
Informations
  • Tendance
  • Correctif disponible

Résumé technique

CVE-2025-0107 est une vulnérabilité d’exécution de code à distance causée par une validation inadéquate dans le point de terminaison /API/regionsDiscovery.php. Cette faille permet à des attaquants non authentifiés de manipuler l’application Expedition afin qu’elle se connecte à un serveur Apache Spark contrôlé par l’attaquant. Le serveur malveillant peut fournir un paquet Java spécialement conçu en réponse, qui est exécuté par le serveur Expedition vulnérable sans vérification appropriée.

Si elle est exploitée, cette vulnérabilité permet à l’attaquant d’exécuter du code arbitraire sur le serveur Expedition. Le problème découle de mesures de sécurité insuffisantes dans la gestion des connexions externes et dans le traitement des paquets Java. La disponibilité d’un code exploit PoC augmente considérablement la probabilité d’exploitation.

Recommandations

  1. Désactiver Expedition : Accélérer la suppression d’Expedition de tous les environnements, car il a atteint sa fin de vie (EoL) et ne reçoit plus de mises à jour de sécurité.
  2. Limiter l’accès : Isoler immédiatement tout système Expedition encore présent, en limitant l’accès au réseau et en bloquant les communications externes.
  3. Passer à des outils pris en charge : Utiliser des outils de migration pris en charge ou des alternatives recommandées par Palo Alto Networks.
  4. Mise à jour des politiques : Mettre en œuvre une politique claire de dépréciation pour les logiciels en fin de vie, afin d’empêcher l’utilisation continue d’outils non pris en charge dans les environnements de production.

[Callforaction-THREAT-Footer]

In

Leave a Reply

Your email address will not be published. Required fields are marked *