Kritická zraniteľnosť v softvéri Palo Alto PAN-OS

April 19, 2024

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosti v softvéri PAN-OS. Verzie 10.2, 11.0 a 11.1 vo funkcii GlobalProtect obsahujú zraniteľnosť, ktorá umožňuje vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť len na firewalloch, na ktorých je zapnutá aspoň jedna z funkcií GlobalProtect Gateway alebo GlobalProtect Portal.

Zraniteľné systémy:

PAN-OS 10.2 vo verzii staršej ako 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3, 10.2.9-h1
PAN-OS 11.0 vo verzii staršej ako 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10, 11.0.4-h1
PAN-OS 11.1 vo verzii staršej ako 11.1.0-h3, 11.1.1-h1, 11.1.2-h3
zraniteľnosť je možné zneužiť len na firewalloch, na ktorých je zapnutá aspoň jedna z funkcií GlobalProtect Gateway alebo GlobalProtect Portal (podľa nových informácií zneužitie zraniteľnosti nevyžadovalo zapnutie funkcie telemetrie ako sa pôvodne predpokladalo)
zariadenia Cloud NGFW, Panorama appliances a Prisma Access nie sú touto zraniteľnosťou ovplyvnené

Opis činnosti:

CVE-2024-3400 (CVSS skóre 10.0)

Kritická zraniteľnosť s označením CVE-2024-3400 sa nachádza vo funkcii GlobalProtect, spočíva v nesprávnej neutralizácii špeciálnych prvkov v rámci príkazov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vykonanie škodlivého kódu. Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

Závažnosť zraniteľnosti: Kritická

Možné škody:

Vykonanie škodlivého kódu
Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Výrobca odporúča bezodkladne aktualizovať zraniteľné systémy. V prípade, že aktualizáciu systémov nie je možné vykonať, odporúčame postupovať podľa pokynov výrobcu:

Blokovať útoky a pokusy o zneužitie zraniteľnosti zapnutím signatúr ID hrozieb: 95187, 95189 a 95191 (len používatelia s aktívnym predplatným služby Threat Prevention).
Aplikovať profil ochrany pred zraniteľnosťou na rozhraniach GlobalProtect podľa návodu.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie (IOC) v logoch sieťových a bezpečnostných prvkov.

Pokusy o zneužitie zraniteľnosti na firewalloch možno preveriť pomocou príkazového riadka PAN-OS CLI zadaním príkazu:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Ak výsledky vyhľadávania medzi časťami „session(“ a „)“ obsahujú namiesto GUID, reťazce obsahujúce systémové cesty alebo shell-ové príkazy, môže sa jednať o aktivitu spojenú s pokusmi o zneužitie zraniteľnosti.

Indikátory kompromitácie (IOC):

SHA256 hashe súborov:

3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac (Update.py)
5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078 (Update.py)
35a5f8ac03b0e3865b3177892420cb34233c55240f452f00f9004e274a85703c (patch)
755f5b8bd67d226f24329dc960f59e11cb5735b930b4ed30b2df77572efb32e8 (policy)
adba167a9df482aa991faaa0e0cde1182fb9acfbb0dc8d19148ce634608bab87 (policy)
c1a0d380bf55070496b9420b970dfc5c2c4ad0a598083b9077493e8b8035f1e9 (policy)
fe07ca449e99827265ca95f9f56ec6543a4c5b712ed50038a9a153199e95a0b7 (policy)
96dbec24ac64e7dd5fef6e2c26214c8fe5be3486d5c92d21d5dcb4f6c4e365b9 (policy)
448fbd7b3389fe2aa421de224d065cea7064de0869a036610e5363c931df5b7c (gost-linux-amd64)
e315907415eb8cfcf3b6a4cd6602b392a3fe8ee0f79a2d51a81a928dbce950f8 (policy(6))
161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6 (reverse-sshx64)