Des vulnérabilités non divulguées pendant des mois à Palo Alto Networks

L’entreprise de cybersécurité Randori essuie des critiques pour ne pas avoir informé Palo Alto Networks pendant des mois au sujet de deux vulnérabilités sérieuses trouvées dans un produit RPV.

Image par Kwangmoozaa via GettyImages.ca

Le délai a été révélé la semaine dernière quand Randori, fournisseur de tests à la demande de systèmes pour aider à trouver et à réparer leurs vulnérabilités (red teaming), basé à Denver, a publié un rapport sur la façon dont il a trouvé deux vulnérabilités dans des pare-feu en utilisant des anciennes versions du réseau privé virtuel (RPV) GlobalProtect Portal de Palo Alto Networks.

Ensemble, ces vulnérabilités peuvent permettre à une personne malveillante de perturber les processus du système, ainsi que d’exécuter du code avec des privilèges racines. Un attaquant doit avoir un accès réseau à l’interface GlobalProtect pour exploiter ce problème.

Habituellement, les entreprises comme Randori révèlent des détails sur la façon dont elles ont trouvé des bogues après que le fournisseur-client ait publié un correctif. Palo Alto Networks a publié des correctifs mercredi le 10 novembre.

Les vulnérabilités sont classées comme étant critiques et le correctif doit être installé immédiatement sur les installations qui utilisent les versions PAN-OS 8.1.17 et antérieures. La version actuelle du système d’exploitation est 10.1.

Lire l’article au complet sur le site d’IT World Canada (en anglais), une publication soeur de Direction informatique

Lire aussi :

Des dirigeants trouvent leur entreprise trop complexe pour être bien protégée

Complexité et cybersécurité ne font pas bon ménage

Sécurité informatique : ne pas perdre de vue l’hygiène de base

Howard Solomon
Howard Solomon
Actuellement rédacteur pigiste, Howard est l'ancien rédacteur en chef de ITWorldCanada.com et de Computing Canada. Journaliste informatique depuis 1997, il a écrit pour plusieurs publications sœurs d'ITWC, notamment ITBusiness.ca et Computer Dealer News. Avant cela, il était journaliste au Calgary Herald et au Brampton Daily Times en Ontario. Il peut être contacté à [email protected].

Articles connexes

Un duo montréalais lance une plateforme gratuite de formation en cybersécurité.

Deux amis d'enfance, tous deux entrepreneurs basés à Montréal,...

Des pirates abusent d’OAuth pour automatiser des cyberattaques, selon Microsoft

Selon Microsoft, des acteurs malveillants utilisent à mauvais escient les applications basées sur OAuth comme outil d'automatisation d'authentification.

Les entreprises canadiennes de taille moyenne paient en moyenne 1,13 million de dollars aux gangs de rançongiciels

Le paiement moyen de rançongiciel effectué par les entreprises canadiennes de taille moyenne s'élevait cette année à un peu plus d'un million de dollars, selon une nouvelle enquête.

Adoption du projet de loi no 38 sur la cybersécurité et la transformation numérique de l’administration publique

Le projet de loi no 38, connu sous le nom de Loi modifiant la Loi sur la gouvernance et la gestion des ressources informationnelles des organismes publics et des entreprises du gouvernement et d'autres dispositions législatives, a été adopté plus tôt cette semaine par l'Assemblée nationale.

Un groupe canadien reçoit 2,2 millions de dollars pour la recherche sur la détection des menaces par l’IA pour les réseaux sans fil

Un groupe composé de chercheurs universitaires canadiens et d'Ericsson Canada vient d’obtenir un financement public dans le cadre de la National Cybersecurity Coalition pour des recherches avancées sur la lutte contre les cybermenaces.

Emplois en vedette

Les offres d'emplois proviennent directement des employeurs actifs. Les détails de certaines offres peuvent être soit en français, en anglais ou bilinguqes.