CVE-2024-3400 PAN-OS: Sicherheitslücke durch Einschleusung von Betriebssystembefehlen in GlobalProtect
Question
Eine Command-Injection-Schwachstelle in der GlobalProtect-Funktion der PAN-OS-Software von Palo Alto Networks für bestimmte PAN-OS-Versionen und unterschiedliche Funktionskonfigurationen kann es einem nicht authentifizierten Angreifer ermöglichen, beliebigen Code mit Root-Rechten auf der Firewall auszuführen.
Cloud NGFW, Panorama-Appliances und Prisma Access sind von dieser Sicherheitslücke nicht betroffen.
Environment
- Pan-OS
- GlobalProtect
- CVE-2024-3400-KARTON
Answer
| Versionen | affektiert | Unberührt |
|---|---|---|
| Wolke NGFW | nichts | All |
| PAN-OS 11.1 | < 11.1.2-h3 | >= 11.1.2-h3 (Weitere Hotfixes finden Sie im Abschnitt Lösung) |
| PAN-OS 11.0 | < 11.0.4-h1 | >= 11.0.4-h1 (Weitere Hotfixes finden Sie im Abschnitt Lösung) |
| PAN-OS 10.2 | < 10.2.9-h1 | >= 10.2.9-h1 (Weitere Hotfixes finden Sie im Abschnitt Lösung) |
| PAN-OS 10.1 | nichts | All |
| PAN-OS 10.0 | nichts | All |
| PAN-OS 9.1 | nichts | All |
| PAN-OS 9,0 | nichts | All |
| Prisma-Zugang | nichts | All |
Erforderliche Konfiguration für die Belichtung
Dieses Problem tritt nur bei PAN-OS 10.2-, PAN-OS 11.0- und PAN-OS 11.1-Firewalls auf, die mit GlobalProtect-Gateway oder GlobalProtect-Portal (oder beidem) und aktivierter Gerätetelemetrie konfiguriert sind.
Sie können überprüfen, ob Sie ein GlobalProtect-Gateway oder ein GlobalProtect-Portal konfiguriert haben, indem Sie nach Einträgen in Ihrer Firewall-Webschnittstelle suchen (Netzwerk > GlobalProtect > Gateways oder Netzwerk-> GlobalProtect >-Portale) und überprüfen, ob Sie die Gerätetelemetrie aktiviert haben, indem Sie Ihre Firewall-Webschnittstelle überprüfen (Device > Setup > Telemetry).
Schweregrad: KRITISCH
CVSSv4.0 Basis-Score: 10 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:Y/R:U/V:C/RE:M/U:Red)
Status der Nutzung
Palo Alto Networks ist eine begrenzte Anzahl von Angriffen bekannt, die die Ausnutzung dieser Schwachstelle ausnutzen.
Weitere Informationen zur Ausnutzung der Sicherheitsanfälligkeit in freier Wildbahn finden Sie in der Bedrohungsübersicht zu Unit 42: https://unit42.paloaltonetworks.com/cve-2024-3400/.
Art der Schwäche
lösung
Dieses Problem wurde in Hotfix-Versionen von PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 und in allen späteren PAN-OS-Versionen behoben. Hotfixes für andere häufig bereitgestellte Wartungsversionen werden ebenfalls zur Verfügung gestellt, um dieses Problem zu beheben. Nachfolgend finden Sie Details zu den voraussichtlichen Ankunftszeiten zu den bevorstehenden Hotfixes.
PAN-OS 10.2:- 10.2.9-h1 (Freigegeben am 14.04.24)- 10.2.8-h3 (voraussichtliche Ankunftszeit: 15.04.24)- 10.2.7-h8 (ETA: 15.4.24)- 10.2.6-h3 (ETA: 15.4.24)- 10.2.5-h6 (ETA: 16.4.24)- 10.2.3-h13 (ETA: 17.4.24)- 10.2.1-h2 (ETA: 17.4.24)- 10.2.2-h5 (ETA: 18.4.24)- 10.2.0-h3 (ETA: 18.4.24)- 10.2.4-h16 (ETA: 19.4.24)PAN-OS 11.0:
- 11.0.4-h1 (Veröffentlicht am 14.04.24)- 11.0.3-h10 (ETA: 15.04.24)- 11.0.3-h10 (ETA: 15.04.24)- 11.0.2-h4 (voraussichtliche Ankunftszeit: 16.04.24)- 11.0.1-h4 (voraussichtliche Ankunft: 17.04.24)- 11.0.0-h3 (voraussichtliche Ankunftszeit: 18.04.24)PAN-OS 11.1:- 11.1.2-h3 (veröffentlicht am 14.04.24)- 11.1.1-h1 (voraussichtliche Ankunft: 16.04.24)- 11.1.0-h3 (voraussichtliche Ankunft: 17.04.24)
Problemumgehungen und Minderungen
Empfohlene Risikominderung: Benutzer mit einem Threat Prevention-Abonnement können Angriffe auf diese Sicherheitsanfälligkeit mithilfe der Bedrohungs-ID 95187 blockieren (verfügbar in den Anwendungs- und Bedrohungsinhaltsversionen 8833-8682 und höher).
Um die Bedrohungs-ID 95187 anzuwenden, müssen Kunden sicherstellen, dass der Schwachstellenschutz auf ihre GlobalProtect-Schnittstelle angewendet wurde, um die Ausnutzung dieses Problems auf ihrem Gerät zu verhindern. Weitere Informationen finden Sie auf https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184.
Wenn Sie die auf der Bedrohungsabwehr basierende Risikominderung derzeit nicht anwenden können, können Sie die Auswirkungen dieser Sicherheitsanfälligkeit dennoch verringern, indem Sie die Gerätetelemetrie vorübergehend deaktivieren, bis das Gerät auf eine feste PAN-OS-Version aktualisiert wird. Nach dem Upgrade sollte die Gerätetelemetrie auf dem Gerät wieder aktiviert werden. Wenn die Firewalls von Panorama verwaltet werden, stellen Sie sicher, dass die Gerätetelemetrie in den relevanten Vorlagen (Panorama > Vorlagen) deaktiviert ist.
Auf der folgenden Seite finden Sie weitere Informationen zum vorübergehenden Deaktivieren der Gerätetelemetrie: https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-disable.
Auf der folgenden Seite finden Sie Details zur Konfiguration von Panorama-Vorlagen: https://docs.paloaltonetworks.com/panorama/11-0/panorama-admin/manage-firewalls/manage-templates-and-template-stacks/add-a-template.
Häufig gestellte Fragen
Q. Wurde dieses Problem in freier Wildbahn ausgenutzt?
Palo Alto Networks ist eine begrenzte Anzahl von Angriffen bekannt, die die Ausnutzung dieser Schwachstelle ausnutzen.
Q. Wurde mein Gerät durch diese Sicherheitslücke kompromittiert?
Kunden können einen Fall im Kundensupportportal (Customer Support Portal, CSP) öffnen und eine Datei des technischen Supports (TSF) hochladen, um festzustellen, ob ihre Geräteprotokolle mit bekannten Kompromittierungsindikatoren (Indicators of Compromise, IoC) für diese Sicherheitsanfälligkeit übereinstimmen.
Q. Wo finde ich zusätzliche Indikatoren für eine Kompromittierung dieses Problems?
Die neuesten Informationen finden Sie im Unit42 Threat Brief (https://unit42.paloaltonetworks.com/cve-2024-3400/) und im Volexity-Blogbeitrag (https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/).
Q. Sind VMs betroffen, die von Kunden in der Cloud bereitgestellt und verwaltet werden?
Während Cloud NGFW-Firewalls nicht betroffen sind, sind bestimmte PAN-OS-Versionen und unterschiedliche Funktionskonfigurationen von Firewall-VMs betroffen, die von Kunden in der Cloud bereitgestellt und verwaltet werden.