CVE-2024-3400 PAN-OS : Vulnérabilité d’injection de commande du système d’exploitation dans GlobalProtect
Question
Une vulnérabilité d’injection de commande dans la fonctionnalité GlobalProtect du logiciel PAN-OS de Palo Alto Networks pour des versions spécifiques de PAN-OS et des configurations de fonctionnalités distinctes peut permettre à un attaquant non authentifié d’exécuter du code arbitraire avec des privilèges root sur le pare-feu.
Les appliances Cloud NGFW, Panorama et Prisma Access ne sont pas affectées par cette vulnérabilité.
Environment
- Pan-OS
- Protection globale
- CVE-2024-3400
Answer
| Versions | affecté | Affectés |
|---|---|---|
| Pare-feu de nouvelle génération dans le cloud | Aucun | Tout |
| PAN-OS 11.1 | < 11.1.2-h3 | >= 11.1.2-h3 (voir les correctifs supplémentaires dans la section Solution) |
| PAN-OS 11.0 | < 11.0.4-h1 | >= 11.0.4-h1 (voir les correctifs supplémentaires dans la section Solution) |
| PAN-OS 10.2 | < 10.2.9-h1 | >= 10.2.9-h1 (voir les correctifs supplémentaires dans la section Solution) |
| PAN-OS 10.1 | Aucun | Tout |
| PAN-OS 10.0 | Aucun | Tout |
| PAN-OS 9.1 | Aucun | Tout |
| PAN-OS 9,0 | Aucun | Tout |
| Accès Prisma | Aucun | Tout |
Configuration requise pour l’exposition
Ce problème s’applique uniquement aux pare-feu PAN-OS 10.2, PAN-OS 11.0 et PAN-OS 11.1 configurés avec la passerelle GlobalProtect ou le portail GlobalProtect (ou les deux) et la télémétrie de l’appareil activée.
Vous pouvez vérifier si vous disposez d’une passerelle GlobalProtect ou d’un portail GlobalProtect configuré en vérifiant les entrées dans l’interface Web de votre pare-feu (Network > GlobalProtect > Gateways ou Network > GlobalProtect > Portals) et vérifier si la télémétrie des périphériques est activée en vérifiant l’interface Web de votre pare-feu (Device > Setup > Telemetry).
Gravité : CRITIQUE
Score de base CVSSv4.0 : 10 (CVSS :4.0/AV :N/AC :L/AT :N/PR :N/UI :N/VC :H/VI :H/VA :H/SC :H/SI :H/SA :H/AU :Y/R :U/V :C/RE :M/U :Red)
Statut d’exploitation
Palo Alto Networks a connaissance d’un nombre limité d’attaques qui exploitent cette vulnérabilité.
Vous trouverez plus d'informations sur l'exploitation de la vulnérabilité dans la nature dans le dossier sur les menaces de l'Unité 42 : https://unit42.paloaltonetworks.com/cve-2024-3400/.
Type de faiblesse
solution
Ce problème est résolu dans les versions de correctifs de PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 et dans toutes les versions ultérieures de PAN-OS. Des correctifs pour d’autres versions de maintenance couramment déployées seront également mis à disposition pour résoudre ce problème. Veuillez consulter les détails ci-dessous pour connaître les heures d’arrivée prévues concernant les correctifs à venir.
PAN-OS 10.2 :- 10.2.9-h1 (publié le 14/04/24)- 10.2.8-h3 (ETA : 15/04/24)- 10.2.7-h8 (ETA : 15/04/24)- 10.2.6-h3 (ETA : 15/04/24)- 10.2.5-h6 (ETA : 16/04/24)- 10.2.3-h13 (ETA : 17/04/24)- 10.2.1-h2 (ETA : 17/04/24)- 10.2.2-h5 (ETA : 18/04/24)- 10.2.0-h3 (ETA : 18/04/24)- 10.2.4-h16 (ETA : 19/04/24)PAN-OS 11.0 :- 11.0.4-h1 (publié le 14/04/24)- 11.0.3-h10 (ETA : 15/04/24)- 11.0.2-h4 (ETA : 16/04/24)- 11.0.1-h4 (ETA : 17/04/24)- 11.0.0-h3 (ETA : 18/04/24)PAN-OS 11.1 :- 11.1.2-h3 (publié le 14/04/24)- 11.1.1-h1 (ETA : 16/04/24)- 11.1.0-h3 (ETA : 17/04/24)
Solutions de contournement et mesures d’atténuation
Atténuation recommandée : les clients disposant d’un abonnement Threat Prevention peuvent bloquer les attaques liées à cette vulnérabilité à l’aide de l’ID de menace 95187 (disponible dans le contenu Applications and Threats version 8833-8682 et versions ultérieures).
Pour appliquer l’ID de menace 95187, les clients doivent s’assurer qu’une protection contre les vulnérabilités a été appliquée à leur interface GlobalProtect afin d’empêcher l’exploitation de ce problème sur leur appareil. Veuillez consulter https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184 pour plus d’informations.
Si vous n’êtes pas en mesure d’appliquer l’atténuation basée sur la prévention des menaces pour le moment, vous pouvez toujours atténuer l’impact de cette vulnérabilité en désactivant temporairement la télémétrie de l’appareil jusqu’à ce que l’appareil soit mis à niveau vers une version PAN-OS fixe. Une fois la mise à niveau effectuée, les données de télémétrie de l’appareil doivent être réactivées sur l’appareil. Si les pare-feu sont gérés par Panorama, assurez-vous que les données de télémétrie de l’appareil sont désactivées dans les modèles appropriés (Panorama > Modèles).
Pour plus d’informations sur la désactivation temporaire de la télémétrie de l’appareil, consultez la page suivante : https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-disable.
Veuillez consulter la page suivante pour plus de détails sur la configuration des modèles de panorama : https://docs.paloaltonetworks.com/panorama/11-0/panorama-admin/manage-firewalls/manage-templates-and-template-stacks/add-a-template.
Foire aux questions
Q. Cette question a-t-elle été exploitée dans la nature ?
Palo Alto Networks a connaissance d’un nombre limité d’attaques qui exploitent cette vulnérabilité.
Q. Mon appareil a-t-il été compromis par cette vulnérabilité ?
Les clients peuvent ouvrir un dossier dans le portail de support client (CSP) et télécharger un fichier de support technique (TSF) pour déterminer si les journaux de leur appareil correspondent à des indicateurs connus de compromission (IoC) pour cette vulnérabilité.
Q. Où puis-je trouver d’autres indicateurs de compromission pour ce problème ?
Veuillez vous référer au Briefing sur les menaces d’Unit42 (https://unit42.paloaltonetworks.com/cve-2024-3400/) et à l’article de blog de Volexity (https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/) pour obtenir les dernières informations.
Q. Les machines virtuelles déployées et gérées par les clients dans le cloud sont-elles affectées ?
Bien que les pare-feu pare-feu de nouvelle génération dans le cloud ne soient pas affectés, les versions spécifiques de PAN-OS et les configurations de fonctionnalités distinctes des machines virtuelles de pare-feu déployées et gérées par les clients dans le cloud sont affectées.