Urgent : Expiration de certificats Palo Alto Networks le 7 avril

Les certificats racine et par défaut Palo Alto PAN-OS expirent le 7 Avril

Palo Alto a émis un communiqué sur son portail de support client, alertant ses utilisateurs d'une expiration prochaine du certificat racine ainsi que du certificat par défaut utilisés par PAN-OS. L'entreprise a souligné que ces certificats seraient invalides à partir du 7 avril, incitant vivement ses clients à agir sans tarder. L'objectif est d'éviter tout impact sur la connectivité avec les pare-feu et les dispositifs Panorama suite à cette expiration.

Quelles sont les conséquences ?

L'expiration des certificats racine et par défaut dans PAN-OS entraîne une perte de confiance des services cloud, des navigateurs et des systèmes d'exploitation envers les Firewalls de Palo Alto Networks et les consoles Panorama. Cette situation compromet le fonctionnement normal de ces équipements.

En l'absence d'un renouvellement des certificats avant leur expiration ou sans les mesures correctives nécessaires, il devient impossible pour les pare-feu et dispositifs Panorama d'initier de nouvelles connexions aux services cloud de Palo Alto Networks. Cela peut gravement perturber le trafic réseau, impacter la sécurité des entreprises et risquer de causer une interruption complète des réseaux et des services.

Quels services seront impactés ?

L'omission de renouveler les certificats, de procéder à des mises à niveau ou de déployer des certificats personnalisés avant l'expiration des certificats racine et par défaut peut avoir des répercussions significatives sur plusieurs services et opérations critiques, comme décrit ci-dessous :

• Navigation Web : L'incapacité des navigateurs web à établir des connexions sécurisées entraînera une interruption de l'accès aux ressources web essentielles, nuisant ainsi à la continuité des activités.
• Systèmes de prévention des menaces : Des fonctionnalités telles que le filtrage d'URL et la sécurité DNS pourraient devenir inopérantes, exposant le réseau à des menaces actuelles et nouvelles.
• Redistribution des données : La perte de connectivité aux services tels que l'identification des utilisateurs, la balise IP, la balise utilisateur, GlobalProtect HIP, et les listes de quarantaine perturbera les processus vitaux de redistribution des données.
• Services basés sur le cloud : La perte de connexion aux services cloud de Palo Alto Networks, y compris le WildFire Public Cloud, ThreatVault, et AutoFocus, créera un vide en matière d'intelligence de sécurité et d'analyse des menaces.
• Appliances de cloud privé : Des dispositifs comme les appliances de cloud privé pour l'URL PAN-DB (série M) et WildFire (WF500/B) ne pourront plus se reconnecter après la fermeture des connexions existantes, causant une défaillance et compromettant les mécanismes de sécurité internes.

Ces impacts mettent en évidence l'importance vitale de maintenir les certificats à jour pour assurer la sécurité et la fiabilité des réseaux et des services d'entreprises.

Que faut-il faire pour ne pas être impacté ?

Les clients palo alto doivent donc mettre à jour leurs certificats PAN-OS au plus vite pour ne pas subir de coupure de production !

Ci-dessous la liste des produits concernés ;

1. Next-Generation Firewalls (NGFW)
2. Panorama for NGFW management
3. Security Services ; WildFire, DNS Security, URL Filtering, et URL PAN-DB Private Cloud
4. User-ID ou Terminal Server agents

Tout le détail du process dans le lien ci-dessous ;

https://live.paloaltonetworks.com/t5/customer-advisories/additional-pan-os-certificate-expirations-and-new-comprehensive/ta-p/572158

Bonnes pratiques concernant les certificats

Nous rappelons que la bonne pratique est de disposer d'une PKI internet à l'entreprise est donc de ne pas utiliser les certificats par défaut.

En utilisant vos propres certificats, les outils Palo Alto Networks bénéficient alors de votre politique interne de gestion des certificats et vous n'êtes donc plus directement concernés par cette problématique.