Cómo solucionar CVE-2024-3400
152321
Created On 04/23/24 21:42 PM - Last Modified 11/15/24 20:16 PM
Objective
Este es el artículo de solución del cliente para el aviso de seguridad de Palo Alto Networks: CVE-2024-3400 .
Las correcciones recomendadas se basan en la visión actual de la corrección más eficaz y menos perjudicial para los clientes.
Environment
- Palo Alto Firewalls
- PAN-OS 10.2.x, 11.0.x, 11.1.x (consulte el aviso de seguridad de Palo Alto Networks para conocer las versiones afectadas)
- CVE-2024-3400
- GlobalProtect
Procedure
- Sonda de nivel 0: Intento fallido de explotación
Solución sugerida: Actualice a la revisión más reciente de PAN-OS.
Como práctica recomendada para proteger las configuraciones en ejecución, cree una clave maestra y elija AES-256-GCM.
Motivo de la corrección sugerida: Las revisiones de PAN-OS corrigen suficientemente la vulnerabilidad. No se sugiere el restablecimiento de datos privados o el restablecimiento de fábrica, ya que no hay indicios de un compromiso.
Como práctica recomendada para proteger las configuraciones en ejecución, cree una clave maestra y elija AES-256-GCM.
Motivo de la corrección sugerida: Las revisiones de PAN-OS corrigen suficientemente la vulnerabilidad. No se sugiere el restablecimiento de datos privados o el restablecimiento de fábrica, ya que no hay indicios de un compromiso.
- Prueba de nivel 1: Se está probando la vulnerabilidad en el dispositivo, se ha creado un archivo de 0 bytes que reside en el firewall, sin indicios de que se haya ejecutado ningún comando no autorizado conocido.
Solución sugerida: Actualice a la revisión más reciente de PAN-OS.
Como práctica recomendada para proteger las configuraciones en ejecución, cree una clave maestra y elija AES-256-GCM.
Motivo de la corrección sugerida: Las revisiones de PAN-OS corrigen suficientemente la vulnerabilidad. No se sugiere el restablecimiento de datos privados o el restablecimiento de fábrica, ya que no hay indicios de ninguna ejecución de comandos no autorizada conocida o exfiltración de archivos.
Como práctica recomendada para proteger las configuraciones en ejecución, cree una clave maestra y elija AES-256-GCM.
Motivo de la corrección sugerida: Las revisiones de PAN-OS corrigen suficientemente la vulnerabilidad. No se sugiere el restablecimiento de datos privados o el restablecimiento de fábrica, ya que no hay indicios de ninguna ejecución de comandos no autorizada conocida o exfiltración de archivos.
- Exfiltración potencial de nivel 2: Un archivo del dispositivo se ha copiado en una ubicación accesible a través de una solicitud web, aunque el archivo puede o no haberse descargado posteriormente. Normalmente, el archivo que hemos observado que se copia es running_config.xml. La corrección sugerida eliminará la posibilidad de capturar artefactos forenses.
Solución sugerida: Actualice a la última revisión de PAN-OS y realice un restablecimiento de datos privados
Cómo realizar el restablecimiento de datos privados y el restablecimiento de fábrica como parte de la corrección de nivel 2 y nivel 3 de CVE-2024-3400
Motivo de la corrección sugerida: Realizar un restablecimiento de datos privados elimina los riesgos de un posible uso indebido de los datos del dispositivo.
Cómo realizar el restablecimiento de datos privados y el restablecimiento de fábrica como parte de la corrección de nivel 2 y nivel 3 de CVE-2024-3400
Motivo de la corrección sugerida: Realizar un restablecimiento de datos privados elimina los riesgos de un posible uso indebido de los datos del dispositivo.
- Nivel 3 Acceso interactivo: Ejecución interactiva de comandos: puede incluir puertas traseras basadas en shell, introducción de código, extracción de archivos, ejecución de comandos. La corrección sugerida eliminará la posibilidad de capturar artefactos forenses.
Solución sugerida: Actualice a la última revisión de PAN-OS y realice un restablecimiento de fábrica
Motivo de la corrección sugerida: Se recomienda un restablecimiento de fábrica debido a la evidencia de una actividad de actores de amenazas más invasiva.
Enlace al resumen de amenazas de la Unidad 42: https://security.paloaltonetworks.com/CVE-2024-3400