Comment remédier à CVE-2024-3400
152321
Created On 04/23/24 21:42 PM - Last Modified 11/15/24 20:16 PM
Objective
Il s’agit d’un article sur le recours client pour l’avis de sécurité Palo Alto Networks - CVE-2024-3400 .
Les mesures correctives recommandées sont basées sur la vision actuelle de la solution la plus efficace et la moins perturbatrice pour les clients.
Environment
- Pare-feu Palo Alto
- PAN-OS 10.2.x, 11.0.x, 11.1.x (reportez-vous à l’avis de sécurité de Palo Alto Networks pour connaître les versions concernées)
- CVE-2024-3400
- Protection globale
Procedure
- Sonde de niveau 0 : Tentative d’exploitation infructueuse
Mesures correctives suggérées : Effectuez la mise à jour vers le dernier correctif PAN-OS.
Pour sécuriser les configurations en cours d’exécution, créez une clé principale et sélectionnez AES-256-GCM.
Raison de la correction suggérée : Les correctifs de PAN-OS corrigent suffisamment la vulnérabilité. La réinitialisation des données privées ou la réinitialisation d’usine n’est pas suggérée car il n’y a aucune indication d’une compromission.
Pour sécuriser les configurations en cours d’exécution, créez une clé principale et sélectionnez AES-256-GCM.
Raison de la correction suggérée : Les correctifs de PAN-OS corrigent suffisamment la vulnérabilité. La réinitialisation des données privées ou la réinitialisation d’usine n’est pas suggérée car il n’y a aucune indication d’une compromission.
- Test de niveau 1 : Vulnérabilité testée sur l’appareil, un fichier de 0 octet a été créé et réside sur le pare-feu, aucune indication d’une exécution de commande non autorisée connue.
Mesures correctives suggérées : Effectuez la mise à jour vers le dernier correctif PAN-OS.
Pour sécuriser les configurations en cours d’exécution, créez une clé principale et sélectionnez AES-256-GCM.
Raison de la correction suggérée : Les correctifs de PAN-OS corrigent suffisamment la vulnérabilité. La réinitialisation des données privées ou la réinitialisation d’usine n’est pas suggérée car il n’y a aucune indication d’une exécution de commande non autorisée connue ou d’une exfiltration de fichiers.
Pour sécuriser les configurations en cours d’exécution, créez une clé principale et sélectionnez AES-256-GCM.
Raison de la correction suggérée : Les correctifs de PAN-OS corrigent suffisamment la vulnérabilité. La réinitialisation des données privées ou la réinitialisation d’usine n’est pas suggérée car il n’y a aucune indication d’une exécution de commande non autorisée connue ou d’une exfiltration de fichiers.
- Exfiltration potentielle de niveau 2 : Un fichier sur l’appareil a été copié à un emplacement accessible via une requête Web, bien que le fichier ait été téléchargé ou non par la suite. En règle générale, le fichier que nous avons observé en cours de copie est running_config.xml. L’assainissement proposé éliminera la possibilité de saisir des artefacts médico-légaux.
Mesures correctives suggérées : Effectuez une mise à jour vers le dernier correctif PAN-OS et effectuez une réinitialisation des données privées
Comment effectuer une réinitialisation des données privées et une réinitialisation d’usine dans le cadre de la correction CVE-2024-3400 de niveau 2 et 3
Raison de la correction suggérée : l’exécution d’une réinitialisation des données privées élimine les risques d’utilisation abusive potentielle des données de l’appareil.
Comment effectuer une réinitialisation des données privées et une réinitialisation d’usine dans le cadre de la correction CVE-2024-3400 de niveau 2 et 3
Raison de la correction suggérée : l’exécution d’une réinitialisation des données privées élimine les risques d’utilisation abusive potentielle des données de l’appareil.
- Niveau 3 Accès interactif : Exécution de commandes interactives : peut inclure des portes dérobées basées sur des shells, l’introduction de code, l’extraction de fichiers, l’exécution de commandes. La correction suggérée éliminera la possibilité de capturer des artefacts médico-légaux.
Mesures correctives suggérées : Effectuez une mise à jour vers le dernier correctif PAN-OS et effectuez une réinitialisation d’usine
Raison de la correction suggérée : Une réinitialisation d’usine est recommandée en raison des preuves d’une activité plus invasive de la part d’un auteur de menace.
Lien vers le Dossier sur les menaces de l’Unité 42 : https://security.paloaltonetworks.com/CVE-2024-3400