A Palo Alto Networks a PAN-OS tűzfalában található, még nem javított kritikus parancsinjekciós sebezhetőség aktív kihasználására figyelmeztet.
A Volexity által felfedezett és a CVE-2024-3400 néven nyomon követett hiba egy parancsinjekciós sebezhetőség, amely a maximális 10.0-s súlyossági pontszámot kapta, mivel kihasználásához nincs szükség különleges jogosultságokra vagy felhasználói beavatkozásra. A sebezhetőség lehetővé teheti egy hitelesítés nélküli támadó számára, hogy tetszőleges kódot futtasson root jogosultságokkal a tűzfalon.
A sebezhető verziók a PAN-OS 10.2, 11.0 és 11.1.
A gyártó a következő verziók kiadásával hajtja végre a hotfixeket:
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1
- PAN-OS 11.1.2-h3
Az érintett verziók áttekintése az alábbi táblázatban látható:
| Verzió | Érintett | Nem érintett |
| Cloud NGFW | Nem | Mind |
| PAN-OS 11.1 | < 11.1.2-h3 | >= 11.1.2-h3 (ETA: By 4/14) |
| PAN-OS 11.0 | < 11.0.4-h1 | >= 11.0.4-h1 (ETA: By 4/14) |
| PAN-OS 10.2 | < 10.2.9-h1 | >= 10.2.9-h1 (ETA: By 4/14) |
| PAN-OS 10.1 | Nem | Mind |
| PAN-OS 10.0 | Nem | Mind |
| PAN-OS 9.1 | Nem | Mind |
| PAN-OS 9.0 | Nem | Mind |
| Prisma Access | Nem | Mind |
A Volexity UTA0218 néven követi nyomon a rosszindulatú tevékenységet, és úgy véli, hogy nagy valószínűséggel államilag támogatott fenyegető szereplők hajtják végre a támadásokat. A Volexity először 2024. április 10-én észlelte a zero day kihasználását a Palo Alto Networks PAN-OS GlobalProtect funkciójában, és értesítette a gyártót a tevékenységről.
Mivel a CVE-2024-3400 már aktív kihasználás alatt áll, ezért ameddig az érintett felhasználók nem tudják alkalmazni a biztonsági frissítéseket, a gyártó a következő enyhítő intézkedések végrehajtását javasolja:
- Az aktív “Threat Prevention” előfizetéssel rendelkező felhasználók a “Threat ID 95187” aktiválásával blokkolhatják a támadásokat a rendszerükben.
- A ‘GlobalProtect Interfaces’ szolgáltatáson a sebezhetőségi védelem legyen beállítva. Erről további információ itt érhető el.
- Az eszköz telemetriájának kikapcsolása a javítások alkalmazásáig. Az erre vonatkozó utasítások ezen a weboldalon találhatók.
A CISA hozzáadta a CVE-2024-3400-at a KEV katalógusához, patchelési határidő a szövetségi ügynökségek számára 2024. április 19.
A nulladik napi hibát felfedező Volexity jelentése további részleteket közöl arról, hogy a hackerek március óta hogyan használják ki a sebezhetőséget, és hogyan telepítettek egy egyedi backdoort. A módszerek kihasználásáról információ a Volexity jelentésében található.
A Volexity egy módszert adott ki, amivel felismerhető, ha a Palo Alto Networks tűzfalát megtámadták:
Tech Support File generálása, amely olyan naplófájlok létrehozására használható, amelyek forensic artifactsokat tartalmaznak, amelyeket elemezve kimutatható a kompromittálódás.
A hálózati tevékenység figyelése a Direct-to-IP HTTP payloadok letöltésére, a GlobalProtect eszközről induló SMB/RDP kapcsolatokra, a böngésző adatait tartalmazó SMB-fájltovábbításokra, valamint a worldtimeapi[.]org/api/timezone/etc/utc/utc-hez intézett HTTP-kérelmekre.
Egy másik módszeren még dolgoznak a Palo Alto Networks-el, ezért egyelőre nem állnak készen arra, hogy információt osszanak meg.
