CVE-2024-3400 PAN-OS: GlobalProtect の OS コマンドインジェクションの脆弱性
Question
パロアルトネットワークスの PAN-OS ソフトウェアの GlobalProtect 機能に特定の PAN-OS バージョンおよび個別の機能構成に対するコマンド インジェクションの脆弱性があるため、認証されていない攻撃者がファイアウォールで root 権限で任意のコードを実行するおそれがあります。
Cloud NGFW、Panoramaアプライアンス、Prisma Accessは、この脆弱性の影響を受けません。
Environment
- パン-OS
- グローバルプロテクト
- CVE-2024-3400
Answer
CVE-2024-3400 PAN-OS: GlobalProtect
製品ステータスにおける OS コマンドインジェクションの脆弱性
| バージョン | 影響 | 影響 |
|---|---|---|
| クラウドNGFW | なし | すべて |
| PAN-OSの11.1 | < 11.1.2-h3 | >= 11.1.2-h3 (「解決策」セクションのその他の修正プログラムを参照) |
| PAN-OS 11.0 (英語) | < 11.0.4-h1 | >= 11.0.4-h1 (「ソリューション」セクションのその他の修正プログラムを参照) |
| PAN-OS 10.2 (英語) | < 10.2.9-h1 | >= 10.2.9-h1 (「解決策」セクションのその他の修正プログラムを参照) |
| PAN-OS 10.1 (英語) | なし | すべて |
| パン OS 10.0 | なし | すべて |
| 汎OS 9.1 | なし | すべて |
| パン OS 9.0 | なし | すべて |
| プリズマアクセス | なし | すべて |
露出に必要な構成
この問題は、GlobalProtect ゲートウェイまたは GlobalProtect ポータル (またはその両方) とデバイス テレメトリが有効になっている PAN-OS 10.2、PAN-OS 11.0、および PAN-OS 11.1 ファイアウォールにのみ該当します。
ファイアウォールのWebインターフェイス(ネットワーク>GlobalProtect >ゲートウェイまたはネットワーク>GlobalProtect>ポータル)でエントリを確認することで、GlobalProtectゲートウェイまたはGlobalProtectポータルが設定されているかどうかを確認し、ファイアウォールWebインターフェイス(デバイス>セットアップ>テレメトリ)をチェックしてデバイステレメトリが有効になっているかどうかを確認します。
重大度: クリティカル
CVSSv4.0 ベーススコア:10 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:Y/R:U/V:C/RE:M/U:Red)
エクスプロイトステータス
パロアルトネットワークスでは、この脆弱性を悪用した攻撃が限定的に発生していることを認識しています。
この脆弱性が実際に悪用された場合の詳細については、Unit 42の脅威概要 https://unit42.paloaltonetworks.com/cve-2024-3400/ をご覧ください。
弱点の種類
CWE-77 コマンドで使用される特殊要素の不適切な無力化(「コマンドインジェクション」)
解決
この問題は、PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、PAN-OS 11.1.2-h3、およびそれ以降のすべてのPAN-OSバージョンのホットフィックスリリースで修正されています。 この問題に対処するために、一般的に展開される他のメンテナンスリリースのホットフィックスも利用可能になります。 今後のホットフィックスに関するETAの詳細については、以下を参照してください。
PAN-OS 10.2:- 10.2.9-h1(4/14/24リリース)- 10.2.8-h3(ETA:4/15/24)- 10.10 2.7-h8 (ETA: 4/15/24)- 10.2.6-h3 (ETA: 4/15/24)- 10.2.5-h6 (ETA: 4/16/24)- 10.2.3-h13 (ETA: 4/17/24)- 10.2.1-h2 (ETA: 4/17/24)- 10.2.2-h5 (ETA: 4/18/24)- 10.2.0-h3 (ETA: 4/18/24)- 10.2.4-h16 (ETA: 4/19/24)PAN-OS 11.0:- 11.0.4-h1 (リリース 4/14/24)- 11.0.3-h10 (ETA: 4/15/24)- 11.0.2-h4 (ETA: 4/16/24)- 11.0.1-h4 (ETA: 4/17/24)- 11.0.0-h3 (ETA: 4/18/24)PAN-OS 11.1:- 11.1.2-h3 (4/14/24 リリース)- 11.1.1-h1 (ETA: 4/16/24)- 11.1.0-h3 (ETA: 4/17/24)
回避策と対策
推奨される軽減策: 脅威防止サブスクリプションをお持ちのお客様は、脅威 ID 95187 (アプリケーションと脅威コンテンツ バージョン 8833-8682 以降で利用可能) を使用して、この脆弱性に対する攻撃をブロックできます。
脅威 ID 95187 を適用するには、デバイスでこの問題が悪用されるのを防ぐために、脆弱性保護が GlobalProtect インターフェイスに適用されていることを確認する必要があります。 詳しくは https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184 をご覧ください。
現時点で脅威防御ベースの緩和策を適用できない場合でも、デバイスが固定の PAN-OS バージョンにアップグレードされるまで、デバイスのテレメトリを一時的に無効にすることで、この脆弱性の影響を軽減できます。 アップグレードしたら、デバイスでデバイス テレメトリを再度有効にする必要があります。 ファイアウォールが Panorama によって管理されている場合は、関連するテンプレート (Panorama > テンプレート) でデバイス テレメトリが無効になっていることを確認します。
デバイステレメトリを一時的に無効にする方法については、次のページを参照してください。 https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-disable。
Panorama テンプレートの設定方法については、次のページを参照してください。 https://docs.paloaltonetworks.com/panorama/11-0/panorama-admin/manage-firewalls/manage-templates-and-template-stacks/add-a-template.
よくある質問
Q。 この問題は実際に悪用されていますか?
パロアルトネットワークスでは、この脆弱性を悪用した攻撃が限定的に発生していることを認識しています。
Q。 私のデバイスはこの脆弱性の影響を受けますか?
お客様は、カスタマー サポート ポータル (CSP) でケースを開き、テクニカル サポート ファイル (TSF) をアップロードして、デバイス ログがこの脆弱性の既知の侵害の痕跡 (IoC) と一致するかどうかを判断できます。
Q。 この問題に対する追加の侵害の痕跡はどこで確認できますか?
最新情報については、Unit42 Threat Brief(https://unit42.paloaltonetworks.com/cve-2024-3400/)およびVolexityのブログ記事(https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/)を参照してください。
Q.クラウドで顧客によってデプロイおよび管理されている VM は影響を受けますか?
クラウド NGFW ファイアウォールは影響を受けませんが、クラウドでお客様がデプロイおよび管理するファイアウォール VM の特定の PAN-OS バージョンと個別の機能構成が影響を受けます。