Kritická zraniteľnosť v softvéri Palo Alto PAN-OS

Spoločnosť Palo Alto Networks vydala bezpečnostné aktualizácie, ktoré opravujú aktívne zneužívanú kritickú zraniteľnosti v softvéri PAN-OS. Verzie 10.2, 11.0 a 11.1 vo funkcii GlobalProtect obsahujú zraniteľnosť, ktorá umožňuje vzdialené vykonanie kódu. Zraniteľnosť je možné zneužiť len na firewalloch, na ktorých je zapnutá aspoň jedna z funkcií GlobalProtect Gateway alebo GlobalProtect Portal.

Zraniteľné systémy:

  • PAN-OS 10.2 vo verzii staršej ako 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3, 10.2.9-h1
  • PAN-OS 11.0 vo verzii staršej ako 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10, 11.0.4-h1
  • PAN-OS 11.1 vo verzii staršej ako 11.1.0-h3, 11.1.1-h1, 11.1.2-h3
  • zraniteľnosť je možné zneužiť len na firewalloch, na ktorých je zapnutá aspoň jedna z funkcií GlobalProtect Gateway alebo GlobalProtect Portal (podľa nových informácií zneužitie zraniteľnosti nevyžadovalo zapnutie funkcie telemetrie ako sa pôvodne predpokladalo)
  • zariadenia Cloud NGFW, Panorama appliances a Prisma Access nie sú touto zraniteľnosťou ovplyvnené

Opis činnosti:

CVE-2024-3400 (CVSS skóre 10.0)

Kritická zraniteľnosť s označením CVE-2024-3400 sa nachádza vo funkcii GlobalProtect, spočíva v nesprávnej neutralizácii špeciálnych prvkov v rámci príkazov a vzdialený neautentifikovaný útočník by ju mohol zneužiť na vykonanie škodlivého kódu.  Zraniteľnosť je v súčasnosti aktívne zneužívaná útočníkmi.

Závažnosť zraniteľnosti: Kritická

Možné škody:

  • Vykonanie škodlivého kódu
  • Úplné narušenie dôvernosti, integrity a dostupnosti systému

Odporúčania:

Výrobca odporúča bezodkladne aktualizovať zraniteľné systémy. V prípade, že aktualizáciu systémov nie je možné vykonať, odporúčame postupovať podľa pokynov výrobcu:

  • Blokovať útoky a pokusy o zneužitie zraniteľnosti zapnutím signatúr ID hrozieb: 95187, 95189 a 95191 (len používatelia s aktívnym predplatným služby Threat Prevention).
  • Aplikovať profil ochrany pred zraniteľnosťou na rozhraniach GlobalProtect podľa návodu.

Vzhľadom na aktívne zneužívanie zraniteľnosti odporúčame dôkladne preveriť prítomnosť dostupných indikátorov kompromitácie (IOC) v logoch sieťových a bezpečnostných prvkov.

Pokusy o zneužitie zraniteľnosti na firewalloch možno preveriť pomocou príkazového riadka PAN-OS CLI zadaním príkazu:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Ak výsledky vyhľadávania medzi časťami „session(“ a „)“ obsahujú namiesto GUID, reťazce obsahujúce systémové cesty alebo shell-ové príkazy, môže sa jednať o aktivitu spojenú s pokusmi o zneužitie zraniteľnosti.

Indikátory kompromitácie (IOC):

SHA256 hashe súborov:

  • 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac (Update.py)
  • 5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078 (Update.py)
  • 35a5f8ac03b0e3865b3177892420cb34233c55240f452f00f9004e274a85703c (patch)
  • 755f5b8bd67d226f24329dc960f59e11cb5735b930b4ed30b2df77572efb32e8 (policy)
  • adba167a9df482aa991faaa0e0cde1182fb9acfbb0dc8d19148ce634608bab87 (policy)
  • c1a0d380bf55070496b9420b970dfc5c2c4ad0a598083b9077493e8b8035f1e9 (policy)
  • fe07ca449e99827265ca95f9f56ec6543a4c5b712ed50038a9a153199e95a0b7 (policy)
  • 96dbec24ac64e7dd5fef6e2c26214c8fe5be3486d5c92d21d5dcb4f6c4e365b9 (policy)
  • 448fbd7b3389fe2aa421de224d065cea7064de0869a036610e5363c931df5b7c (gost-linux-amd64)
  • e315907415eb8cfcf3b6a4cd6602b392a3fe8ee0f79a2d51a81a928dbce950f8 (policy(6))
  • 161fd76c83e557269bee39a57baa2ccbbac679f59d9adff1e1b73b0f4bb277a6 (reverse-sshx64)

IP adresy:

  • 38.60.218[.]153
  • 38.180.41[.]251
  • 38.180.106[.]167
  • 38.180.128[.]159
  • 38.181.70[.]3
  • 38.207.148[.]123
  • 45.121.51[.]23
  • 64.176.226[.]203
  • 66.235.168[.]222
  • 78.141.232[.]174
  • 110.47.250[.]103
  • 126.227.76[.]24
  • 146.70.192[.]174
  • 144.172.79[.]92
  • 147.45.70[.]100
  • 149.28.194[.]95
  • 149.88.27[.]212
  • 154.223.16[.]34
  • 172.233.228[.]93
  • 173.255.223[.]159
  • 185.108.105[.]110
  • 199.119.206[.]28
  • 203.160.86[.]91

Domény:

  • edcjn.57fe6f5d9d.ipv6.1433.eu[.]org
  • nhdata.s3-us-west-2.amazonaws[.]com
  • srgsd1f.842b727ba4.ipv6.1433.eu[.]org

URL:

  • hxxp://172.233.228[.]93/patch
  • hxxp://172.233.228[.]93/policy
  • hxxp://172.233.228[.]93/vpn_prot.gz
  • hxxp://172.233.228[.]93/vpn.log
  • hxxp://172.233.228[.]93/lowdp
  • hxxps://45.121.51[.]2/abc.txt

Aktualizované 19.04.2024: dostupné aktualizácie, predpoklady zneužitia zraniteľnosti, zoznam zasiahnutých systémov, odporúčania

Odkazy:

https://security.paloaltonetworks.com/CVE-2024-3400

https://unit42.paloaltonetworks.com/cve-2024-3400/

https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/