CVE-2024-3400 PAN-OS:GLOBALProtect 中的操作系统命令注入漏洞
Question
Palo Alto Networks PAN-OS 软件的 GlobalProtect 功能中针对特定 PAN-OS 版本和不同功能配置的命令注入漏洞可能使未经身份验证的攻击者能够在防火墙上以 root 权限执行任意代码。
Cloud NGFW、Panorama 设备和 Prisma Access 不受此漏洞的影响。
Environment
- 泛 OS
- 全球保护
- CVE-2024-3400 (英语)
Answer
CVE-2024-3400 PAN-OS:GlobalProtect
产品状态中的操作系统命令注入漏洞
版本 | 影响 | 未受影响 |
---|---|---|
云 NGFW | 没有 | 所有 |
泛操作系统 11.1 | < 11.1.2-H3 | >= 11.1.2-h3 (请参阅解决方案部分中的其他修补程序) |
PAN-OS 11.0 操作系统 | < 11.0.4-h1 | >= 11.0.4-h1 (请参阅解决方案部分中的其他修补程序) |
PAN-OS 10.2 版本 | < 10.2.9-h1 | >= 10.2.9-h1 (请参阅“解决方案”部分中的其他修补程序) |
泛操作系统 10.1 | 没有 | 所有 |
PAN-OS 10.0 | 没有 | 所有 |
泛欧 9.1 | 没有 | 所有 |
泛欧 9.0 | 没有 | 所有 |
普里斯马访问 | 没有 | 所有 |
曝光所需的配置
此问题仅适用于配置了 GlobalProtect 网关或 GlobalProtect 门户(或两者)并启用了设备遥测的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火墙。
您可以通过检查防火墙 Web 界面(Network > GlobalProtect > 网关或 Network > GlobalProtect >门户)中的条目来验证是否配置了 GlobalProtect 网关或 GlobalProtect 门户,并通过检查防火墙 Web 界面(设备>设置>遥测)来验证是否启用了设备遥测。
严重性:严重
CVSSv4.0 基本分数:10 (CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:Y/R:U/V:C/RE:M/U:红色)
利用状态
Palo Alto Networks 获悉利用此漏洞的攻击数量有限。
有关该漏洞在野外被利用的更多信息,请参阅 Unit 42 威胁简报:https://unit42.paloaltonetworks.com/cve-2024-3400/。
弱点类型
CWE-77 命令中使用的特殊元素的不当中和(“命令注入”)
解决 方案
此问题已在 PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、PAN-OS 11.1.2-h3 以及所有更高版本的 PAN-OS 版本中修复。 还将提供其他常用部署的维护版本的修补程序来解决此问题。 请参阅下面有关即将推出的修补程序的预计到达时间的详细信息。
PAN-OS 10.2:
- 10.2.9-h1(4/14/24 发布)
- 10.2.8-h3(预计到达时间:4/15/24)
- 10.2.7-h8(预计到达时间:4/15/24)
- 10.2.6-h3(预计到达时间:4/15/24)
- 10.2.5-h6(预计到达时间:4/16/24)
- 10.2.3-h13(预计到达时间:4/17/24)
- 10.2.1-h2(预计到达时间:4/17/24)
- 10.2.2-h5(预计到达时间:4/18/24)
- 10.2.0-h3(预计到达时间:4/18/24)
- 10.2.4-h16(预计到达时间:4/19/24)
PAN-OS 11.0:
- 11.0.4-h1(发布于4/14/24)
- 11.0.3-h10(预计到达时间:4/15/24)
- 11.0.2-h4(预计到达时间:4/16/24)
- 11.0.1-h4(预计到达时间:4/17/24)
- 11.0.0-h3(预计到达时间:4/18/24)
PAN-OS 11.1:
- 11.1.2-h3(4/14/24发布)
- 11.1.1-h1(预计到达时间:4/16/24)
- 11.1.0-h3(预计到达时间:4/17/24)
解决方法和缓解措施
建议的缓解措施:具有威胁防护订阅的客户可以使用威胁 ID 95187(在应用程序和威胁内容版本 8833-8682 及更高版本中提供)阻止针对此漏洞的攻击。
要应用威胁 ID 95187,客户必须确保已将漏洞保护应用于其 GlobalProtect 界面,以防止在其设备上利用此问题。 有关详细信息,请参阅 https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184。
如果此时无法应用基于威胁防护的缓解措施,仍可以通过暂时禁用设备遥测来缓解此漏洞的影响,直到设备升级到固定的 PAN-OS 版本。 升级后,应在设备上重新启用设备遥测。 如果防火墙由 Panorama 管理,请确保在相关模板(Panorama > 模板)中禁用设备遥测。
有关如何暂时禁用设备遥测的详细信息,请参阅以下页面:https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-disable。
有关如何配置全景模板的详细信息,请参阅以下页面:https://docs.paloaltonetworks.com/panorama/11-0/panorama-admin/manage-firewalls/manage-templates-and-template-stacks/add-a-template。
常见问题
问。 这个问题是否在野外被利用了?
Palo Alto Networks 获悉利用此漏洞的攻击数量有限。
问。 我的设备是否受到此漏洞的影响?
客户可以在客户支持门户 (CSP) 中打开案例并上传技术支持文件 (TSF),以确定其设备日志是否与此漏洞的已知入侵指标 (IoC) 匹配。
问。 在哪里可以找到此问题的其他妥协指标?
有关最新信息,请参阅 Unit42 威胁简报 (https://unit42.paloaltonetworks.com/cve-2024-3400/) 和 Volexity 博客文章 (https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/)。
Q.客户在云中部署和管理的 VM 是否受到影响?
虽然云 NGFW 防火墙不受影响,但客户在云中部署和管理的防火墙虚拟机的特定 PAN-OS 版本和不同功能配置会受到影响。