Kritická zraniteľnosť v softvéri Palo Alto PAN-OS
Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosti v softvéri PAN-OS. Verzie 10.2, 11.0 a 11.1 vo funkcii GlobalProtect obsahujú zraniteľnosť, ktorá umožňuje vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť len na firewalloch, na ktorých je zapnutá aspoň jedna z funkcií GlobalProtect Gateway alebo GlobalProtect Portal.
Zraniteľné systémy:
- PAN-OS 10.2 vo verzii staršej ako 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3, 10.2.9-h1
- PAN-OS 11.0 vo verzii staršej ako 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10, 11.0.4-h1
- PAN-OS 11.1 vo verzii staršej ako 11.1.0-h3, 11.1.1-h1, 11.1.2-h3
- zraniteľnosť je možné zneužiť len na firewalloch, na ktorých je zapnutá aspoň jedna z funkcií GlobalProtect Gateway alebo GlobalProtect Portal (podľa nových informácií zneužitie zraniteľnosti nevyžadovalo zapnutie funkcie telemetrie ako sa pôvodne predpokladalo)
- zariadenia Cloud NGFW, Panorama appliances a Prisma Access nie sú touto zraniteľnosťou ovplyvnené
Opis činnosti:
CVE-2024-3400 (CVSS skóre 10.0)
Kritická zraniteľnosť s označením CVE-2024-3400 sa nachádza vo funkcii GlobalProtect, spočíva v nesprávnej neutralizácii špeciálnych prvkov v rámci príkazov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vykonanie škodlivého kódu. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.
Závažnosť zraniteľnosti: Kritická
Možné škody:
- Vykonanie škodlivého kódu
- Úplné narušenie dôvernosti, integrity a dostupnosti systému
Odporúčania:
Výrobca odporúča bezodkladne aktualizovať zraniteľné systémy. V prípade, že aktualizáciu systémov nie je možné vykonať, odporúčame postupovať podľa pokynov výrobcu:
- Blokovať útoky a pokusy o zneužitie zraniteľnosti zapnutím signatúr ID hrozieb: 95187, 95189 a 95191 (len používatelia s aktívnym predplatným služby Threat Prevention).
- Aplikovať profil ochrany pred zraniteľnosťou na rozhraniach GlobalProtect podľa návodu.
Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie (IOC) v logoch sieťových a bezpečnostných prvkov.
Pokusy o zneužitie zraniteľnosti na firewalloch možno preveriť pomocou príkazového riadka PAN-OS CLI zadaním príkazu:
grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*
Ak výsledky vyhľadávania medzi časťami „session(“ a „)“ obsahujú namiesto GUID, reťazce obsahujúce systémové cesty alebo shell-ové príkazy, môže sa jednať o aktivitu spojenú s pokusmi o zneužitie zraniteľnosti.
Indikátory kompromitácie (IOC):
SHA256 hashe súborov:
- 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac (Update.py)
- 5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078 (Update.py)
- 35a5f8ac03b0e3865b3177892420cb34233c55240f452f00f9004e274a85703c (patch)
- 755f5b8bd67d226f24329dc960f59e11cb5735b930b4ed30b2df77572efb32e8 (policy)
- adba167a9df482aa991faaa0e0cde1182fb9acfbb0dc8d19148ce634608bab87 (policy)
- c1a0d380bf55070496b9420b970dfc5c2c4ad0a598083b9077493e8b8035f1e9 (policy)
- fe07ca449e99827265ca95f9f56ec6543a4c5b712ed50038a9a153199e95a0b7 (policy)
- 96dbec24ac64e7dd5fef6e2c26214c8fe5be3486d5c92d21d5dcb4f6c4e365b9 (policy)
- 448fbd7b3389fe2aa421de224d065cea7064de0869a036610e5363c931df5b7c (gost-linux-amd64)
- e315907415eb8cfcf3b6a4cd6602b392a3fe8ee0f79a2d51a81a928dbce950f8 (policy(6))
- 161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6 (reverse-sshx64)
IP adresy:
- 38.60.218[.]153
- 38.180.41[.]251
- 38.180.106[.]167
- 38.180.128[.]159
- 38.181.70[.]3
- 38.207.148[.]123
- 45.121.51[.]23
- 64.176.226[.]203
- 66.235.168[.]222
- 78.141.232[.]174
- 110.47.250[.]103
- 126.227.76[.]24
- 146.70.192[.]174
- 144.172.79[.]92
- 147.45.70[.]100
- 149.28.194[.]95
- 149.88.27[.]212
- 154.223.16[.]34
- 172.233.228[.]93
- 173.255.223[.]159
- 185.108.105[.]110
- 199.119.206[.]28
- 203.160.86[.]91
Domény:
- edcjn.57fe6f5d9d.ipv6.1433.eu[.]org
- nhdata.s3-us-west-2.amazonaws[.]com
- srgsd1f.842b727ba4.ipv6.1433.eu[.]org
URL:
- hxxp://172.233.228[.]93/patch
- hxxp://172.233.228[.]93/policy
- hxxp://172.233.228[.]93/vpn_prot.gz
- hxxp://172.233.228[.]93/vpn.log
- hxxp://172.233.228[.]93/lowdp
- hxxps://45.121.51[.]2/abc.txt
Aktualizované 19.04.2024: dostupné aktualizácie, predpoklady zneužitia zraniteľnosti, zoznam zasiahnutých systémov, odporúčania
Odkazy:
https://security.paloaltonetworks.com/CVE-2024-3400