CVE-2024-3400 PAN-OS: Vulnerabilidad de inyección de comandos del sistema operativo en GlobalProtect
Question
Una vulnerabilidad de inyección de comandos en la función GlobalProtect del software PAN-OS de Palo Alto Networks para versiones específicas de PAN-OS y configuraciones de funciones distintas puede permitir que un atacante no autenticado ejecute código arbitrario con privilegios de root en el firewall.
Cloud NGFW, los dispositivos Panorama y Prisma Access no se ven afectados por esta vulnerabilidad.
Environment
- PAN-os
- GlobalProtect
- CVE-2024-3400
Answer
| Versiones | Afectados | Inafectado |
|---|---|---|
| NGFW en la nube | Ninguno | All |
| PAN-OS 11.1 | < 11.1.2-h3 | >= 11.1.2-h3 (consulte las revisiones adicionales en la sección Solución) |
| PAN-OS 11.0 | < 11.0.4-h1 | >= 11.0.4-h1 (consulte las revisiones adicionales en la sección Solución) |
| PAN-OS 10.2 | < 10.2.9-h1 | >= 10.2.9-h1 (consulte las revisiones adicionales en la sección Solución) |
| PAN-OS 10.1 | Ninguno | All |
| PAN-OS 10.0 | Ninguno | All |
| PAN-OS 9.1 | Ninguno | All |
| PAN-OS 9.0 | Ninguno | All |
| Acceso a Prisma | Ninguno | All |
Configuración requerida para la exposición
Este problema solo se aplica a los firewalls PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 configurados con la puerta de enlace GlobalProtect o el portal GlobalProtect (o ambos) y la telemetría del dispositivo habilitada.
Puede verificar si tiene configurada una puerta de enlace de GlobalProtect o un portal de GlobalProtect comprobando si hay entradas en la interfaz web del firewall (Network > GlobalProtect > Gateways o Network > GlobalProtect > Portals) y verificar si tiene habilitada la telemetría del dispositivo comprobando la interfaz web del firewall (Configuración del > del dispositivo > Telemetría).
Gravedad: CRÍTICA
CVSSv4.0 Puntuación base: 10 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:Y/R:U/V:C/RE:M/U:Red)
Estado de explotación
Palo Alto Networks es consciente de un número limitado de ataques que aprovechan la explotación de esta vulnerabilidad.
Se puede encontrar más información sobre la explotación de la vulnerabilidad en la naturaleza en el resumen de amenazas de Unit 42: https://unit42.paloaltonetworks.com/cve-2024-3400/.
Tipo de debilidad
Solución
Este problema se ha corregido en las versiones de revisión de PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 y en todas las versiones posteriores de PAN-OS. También estarán disponibles revisiones para otras versiones de mantenimiento implementadas habitualmente para solucionar este problema. Consulte los detalles a continuación para conocer las ETA sobre las próximas revisiones.
PAN-OS 10.2:- 10.2.9-h1 (Publicado el 14/04/24)- 10.2.8-h3 (ETA: 15/04/24)- 10.2.7-h8 (ETA: 15/04/24)- 10.2.6-h3 (ETA: 15/04/24)- 10.2.5-h6 (ETA: 16/04/24)- 10.2.3-h13 (ETA: 17/04/24)- 10.2.1-h2 (ETA: 17/04/24)- 10.2.2-h5 (ETA: 18/04/24)- 10.2.0-h3 (ETA: 18/04/24)- 10.2.4-h16 (ETA: 19/04/24)PAN-OS 11.0:- 11.0.4-h1 (Publicado el 14/04/24)- 11.0.3-h10 (ETA: 15/04/24)- 11.0.2-h4 (ETA: 16/04/24)- 11.0.1-h4 (ETA: 17/04/24)- 11.0.0-h3 (ETA: 18/04/24)PAN-OS 11.1:-11.1.2-h3 (Publicado el 14/04/24)- 11.1.1-h1 (ETA: 16/04/24)- 11.1.0-h3 (ETA: 17/04/24)
Soluciones y mitigaciones
Mitigación recomendada: los clientes con una suscripción a Prevención de amenazas pueden bloquear los ataques de esta vulnerabilidad mediante el identificador de amenaza 95187 (disponible en la versión de contenido de aplicaciones y amenazas 8833-8682 y posteriores).
Para aplicar el ID de amenaza 95187, los clientes deben asegurarse de que se ha aplicado la protección contra vulnerabilidades a su interfaz de GlobalProtect para evitar la explotación de este problema en su dispositivo. Consulte https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184 para obtener más información.
Si no puede aplicar la mitigación basada en Prevención de amenazas en este momento, aún puede mitigar el impacto de esta vulnerabilidad deshabilitando temporalmente la telemetría del dispositivo hasta que el dispositivo se actualice a una versión fija de PAN-OS. Una vez actualizada, la telemetría del dispositivo debe volver a habilitarse en el dispositivo. Si los firewalls están administrados por Panorama, asegúrese de que la telemetría del dispositivo esté deshabilitada en las plantillas pertinentes (Plantillas de > Panorama).
Consulte la página siguiente para obtener más información sobre cómo deshabilitar temporalmente la telemetría del dispositivo: https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-disable.
Consulte la siguiente página para obtener más información sobre cómo configurar las plantillas de Panorama: https://docs.paloaltonetworks.com/panorama/11-0/panorama-admin/manage-firewalls/manage-templates-and-template-stacks/add-a-template.
Preguntas frecuentes
Pregunta. ¿Se ha explotado este problema en la naturaleza?
Palo Alto Networks es consciente de un número limitado de ataques que aprovechan la explotación de esta vulnerabilidad.
Pregunta. ¿Mi dispositivo se ha visto comprometido por esta vulnerabilidad?
Los clientes pueden abrir un caso en el Portal de soporte técnico (CSP) y cargar un archivo de soporte técnico (TSF) para determinar si los registros de sus dispositivos coinciden con los indicadores de riesgo (IoC) conocidos para esta vulnerabilidad.
Pregunta. ¿Dónde puedo encontrar indicadores adicionales de compromiso para este tema?
Consulte el Resumen de amenazas de Unit42 (https://unit42.paloaltonetworks.com/cve-2024-3400/) y la publicación del blog Volexity (https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/) para obtener la información más reciente.
Q. ¿Se ven afectadas las máquinas virtuales implementadas y administradas por los clientes en la nube?
Si bien los firewalls NGFW en la nube no se ven afectados, sí se ven afectadas las versiones específicas de PAN-OS y las configuraciones de características distintas de las máquinas virtuales de firewall implementadas y administradas por los clientes en la nube.