So beheben Sie CVE-2024-3400
91926
Created On 04/23/24 21:42 PM - Last Modified 05/03/24 07:11 AM
Objective
Dies ist ein Artikel zur Abhilfe von Kunden für Palo Alto Networks Security Advisory - CVE-2024-3400 .
Die empfohlenen Korrekturen basieren auf der aktuellen Ansicht der effektivsten und am wenigsten störenden Korrektur für Kunden.
Environment
- Palo Alto Firewalls
- PAN-OS 10.2.x, 11.0.x, 11.1.x (Informationen zu den betroffenen Versionen finden Sie im Palo Alto Networks Security Advisory)
- CVE-2024-3400-KARTON
- GlobalProtect
Procedure
- Stufe 0 Sonde: Erfolgloser Exploit-Versuch
Vorgeschlagene Abhilfe: Aktualisieren Sie auf den neuesten PAN-OS-Hotfix.
Als Best Practice zum Sichern von running-configs erstellen Sie einen Hauptschlüssel und wählen Sie AES-256-GCM aus.
Grund für die vorgeschlagene Korrektur: PAN-OS-Hotfixes beheben die Sicherheitsanfälligkeit ausreichend. Das Zurücksetzen privater Daten oder das Zurücksetzen auf die Werkseinstellungen wird nicht empfohlen, da es keinen Hinweis auf eine Kompromittierung gibt.
Als Best Practice zum Sichern von running-configs erstellen Sie einen Hauptschlüssel und wählen Sie AES-256-GCM aus.
Grund für die vorgeschlagene Korrektur: PAN-OS-Hotfixes beheben die Sicherheitsanfälligkeit ausreichend. Das Zurücksetzen privater Daten oder das Zurücksetzen auf die Werkseinstellungen wird nicht empfohlen, da es keinen Hinweis auf eine Kompromittierung gibt.
- Stufe 1 Test: Die Schwachstelle wird auf dem Gerät getestet, es wurde eine 0-Byte-Datei erstellt, die sich in der Firewall befindet, kein Hinweis auf eine bekannte nicht autorisierte Befehlsausführung.
Vorgeschlagene Abhilfe: Aktualisieren Sie auf den neuesten PAN-OS-Hotfix.
Als Best Practice zum Sichern von running-configs erstellen Sie einen Hauptschlüssel und wählen Sie AES-256-GCM aus.
Grund für die vorgeschlagene Korrektur: PAN-OS-Hotfixes beheben die Sicherheitsanfälligkeit ausreichend. Das Zurücksetzen privater Daten oder das Zurücksetzen auf die Werkseinstellungen wird nicht empfohlen, da es keine Hinweise auf eine bekannte unbefugte Befehlsausführung oder Exfiltration von Dateien gibt.
Als Best Practice zum Sichern von running-configs erstellen Sie einen Hauptschlüssel und wählen Sie AES-256-GCM aus.
Grund für die vorgeschlagene Korrektur: PAN-OS-Hotfixes beheben die Sicherheitsanfälligkeit ausreichend. Das Zurücksetzen privater Daten oder das Zurücksetzen auf die Werkseinstellungen wird nicht empfohlen, da es keine Hinweise auf eine bekannte unbefugte Befehlsausführung oder Exfiltration von Dateien gibt.
- Potentielle Exfiltration der Stufe 2: Eine Datei auf dem Gerät wurde an einen Speicherort kopiert, auf den über eine Webanforderung zugegriffen werden kann, obwohl die Datei anschließend möglicherweise heruntergeladen wurde. In der Regel ist die Datei, die wir beim Kopieren beobachtet haben, running_config.xml. Durch die vorgeschlagene Korrektur wird die Möglichkeit der Erfassung forensischer Artefakte ausgeschlossen.
Vorgeschlagene Abhilfe: Aktualisieren Sie auf den neuesten PAN-OS-Hotfix und führen Sie ein Zurücksetzen privater Daten
durch So führen Sie das Zurücksetzen privater Daten und das Zurücksetzen auf die Werkseinstellungen im Rahmen der CVE-2024-3400 Level 2 und Level 3 Remediation
durch Grund für die vorgeschlagene Korrektur: Durch das Zurücksetzen privater Daten wird das Risiko eines potenziellen Missbrauchs von Gerätedaten eliminiert.
durch So führen Sie das Zurücksetzen privater Daten und das Zurücksetzen auf die Werkseinstellungen im Rahmen der CVE-2024-3400 Level 2 und Level 3 Remediation
durch Grund für die vorgeschlagene Korrektur: Durch das Zurücksetzen privater Daten wird das Risiko eines potenziellen Missbrauchs von Gerätedaten eliminiert.
- Stufe 3 Interaktiver Zugang: Interaktive Befehlsausführung: Kann Shell-basierte Hintertüren, Einführung von Code, Abrufen von Dateien und Ausführen von Befehlen umfassen. Durch die vorgeschlagene Korrektur wird die Möglichkeit der Erfassung forensischer Artefakte ausgeschlossen.
Vorgeschlagene Abhilfe: Aktualisieren Sie auf den neuesten PAN-OS-Hotfix und setzen Sie ihn auf die Werkseinstellungen zurück.
Grund für die vorgeschlagene Korrektur: Ein Zurücksetzen auf die Werkseinstellungen wird empfohlen, da es Hinweise auf eine invasivere Aktivität von Bedrohungsakteuren gibt.
Link zur Bedrohungsübersicht von Einheit 42: https://security.paloaltonetworks.com/CVE-2024-3400