Kritikus sérülékenység található a PAN-OS tűzfalakban

A Palo Alto Networks a PAN-OS tűzfalában található, még nem javított kritikus parancsinjekciós sebezhetőség aktív kihasználására figyelmeztet.

A Volexity által felfedezett és a CVE-2024-3400 néven nyomon követett hiba egy parancsinjekciós sebezhetőség, amely a maximális 10.0-s súlyossági pontszámot kapta, mivel kihasználásához nincs szükség különleges jogosultságokra vagy felhasználói beavatkozásra. A sebezhetőség lehetővé teheti egy hitelesítés nélküli támadó számára, hogy tetszőleges kódot futtasson root jogosultságokkal a tűzfalon.

A sebezhető verziók a PAN-OS 10.2, 11.0 és 11.1.

A gyártó a következő verziók kiadásával hajtja végre a hotfixeket:

  • PAN-OS 10.2.9-h1
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.1.2-h3

Az érintett verziók áttekintése az alábbi táblázatban látható:

Verzió Érintett Nem érintett
Cloud NGFW Nem Mind
PAN-OS 11.1 < 11.1.2-h3 >= 11.1.2-h3 (ETA: By 4/14)
PAN-OS 11.0 < 11.0.4-h1 >= 11.0.4-h1 (ETA: By 4/14)
PAN-OS 10.2 < 10.2.9-h1 >= 10.2.9-h1 (ETA: By 4/14)
PAN-OS 10.1 Nem Mind
PAN-OS 10.0 Nem Mind
PAN-OS 9.1 Nem Mind
PAN-OS 9.0 Nem Mind
Prisma Access Nem Mind

 

A Volexity UTA0218 néven követi nyomon a rosszindulatú tevékenységet, és úgy véli, hogy nagy valószínűséggel államilag támogatott fenyegető szereplők hajtják végre a támadásokat. A Volexity először 2024. április 10-én észlelte a zero day kihasználását a Palo Alto Networks PAN-OS GlobalProtect funkciójában, és értesítette a gyártót a tevékenységről.

Mivel a CVE-2024-3400 már aktív kihasználás alatt áll, ezért ameddig az érintett felhasználók nem tudják alkalmazni a biztonsági frissítéseket, a gyártó a következő enyhítő intézkedések végrehajtását javasolja:

  • Az aktív “Threat Prevention” előfizetéssel rendelkező felhasználók a “Threat ID 95187” aktiválásával blokkolhatják a támadásokat a rendszerükben.
  • A ‘GlobalProtect Interfaces’ szolgáltatáson a sebezhetőségi védelem legyen beállítva. Erről további információ itt érhető el.
  • Az eszköz telemetriájának kikapcsolása a javítások alkalmazásáig. Az erre vonatkozó utasítások ezen a weboldalon találhatók.

A CISA hozzáadta a CVE-2024-3400-at a KEV katalógusához, patchelési határidő a szövetségi ügynökségek számára 2024. április 19.

A nulladik napi hibát felfedező Volexity jelentése további részleteket közöl arról, hogy a hackerek március óta hogyan használják ki a sebezhetőséget, és hogyan telepítettek egy egyedi backdoort. A módszerek kihasználásáról információ a Volexity jelentésében található.

A Volexity egy módszert adott ki, amivel felismerhető, ha a Palo Alto Networks tűzfalát megtámadták:

Tech Support File generálása, amely olyan naplófájlok létrehozására használható, amelyek forensic artifactsokat tartalmaznak, amelyeket elemezve kimutatható a kompromittálódás.

A hálózati tevékenység figyelése a Direct-to-IP HTTP payloadok letöltésére, a GlobalProtect eszközről induló SMB/RDP kapcsolatokra, a böngésző adatait tartalmazó SMB-fájltovábbításokra, valamint a worldtimeapi[.]org/api/timezone/etc/utc/utc-hez intézett HTTP-kérelmekre.

Egy másik módszeren még dolgoznak a Palo Alto Networks-el, ezért egyelőre nem állnak készen arra, hogy információt osszanak meg.

(bleepingcomputer.com)