如何解决 CVE-2024-3400
152321
Created On 04/23/24 21:42 PM - Last Modified 11/15/24 20:16 PM
Objective
这是 Palo Alto Networks 安全公告 (CVE-2024-3400 ) 的客户补救措施文章。
建议的补救措施基于对客户最有效且中断最小的补救措施的当前视图。
Environment
- 帕洛阿尔托防火墙
- PAN-OS 10.2.x、11.0.x、11.1.x(有关受影响的版本,请参阅 Palo Alto 网络安全公告)
- CVE-2024-3400 (英语)
- 全球保护
Procedure
- 0 级探头: 利用漏洞尝试失败
建议的补救措施: 更新到最新的 PAN-OS 修补程序。
作为保护 running-configs 的最佳实践, 请创建一个主密钥 并 选择 AES-256-GCM。
建议修正的原因: PAN-OS 修补程序足以修复此漏洞。 不建议将私有数据重置或恢复出厂设置,因为没有迹象表明存在妥协。
作为保护 running-configs 的最佳实践, 请创建一个主密钥 并 选择 AES-256-GCM。
建议修正的原因: PAN-OS 修补程序足以修复此漏洞。 不建议将私有数据重置或恢复出厂设置,因为没有迹象表明存在妥协。
- 1 级测试: 正在设备上测试的漏洞,已创建一个 0 字节文件,该文件驻留在防火墙上,没有迹象表明任何已知的未经授权的命令执行。
建议的补救措施: 更新到最新的 PAN-OS 修补程序。
作为保护 running-configs 的最佳实践, 请创建一个主密钥 并 选择 AES-256-GCM。
建议修正的原因: PAN-OS 修补程序足以修复此漏洞。 不建议将私有数据重置或恢复出厂设置,因为没有迹象表明任何已知的未经授权的命令执行或文件泄露。
作为保护 running-configs 的最佳实践, 请创建一个主密钥 并 选择 AES-256-GCM。
建议修正的原因: PAN-OS 修补程序足以修复此漏洞。 不建议将私有数据重置或恢复出厂设置,因为没有迹象表明任何已知的未经授权的命令执行或文件泄露。
- 2 级潜在外泄: 设备上的文件已复制到可通过 Web 请求访问的位置,尽管该文件随后可能已下载,也可能未下载。 通常,我们观察到的被复制的文件是running_config.xml。 建议的补救措施将消除捕获取证工件的可能性。
建议的补救措施:更新到最新的 PAN-OS 修补程序并执行私有数据重置
如何在 CVE-2024-3400 级别 2 级和级别 3 修复中执行私有数据重置和恢复出厂
设置 建议修正的原因: 执行专用数据重置可消除可能滥用设备数据的风险。
如何在 CVE-2024-3400 级别 2 级和级别 3 修复中执行私有数据重置和恢复出厂
设置 建议修正的原因: 执行专用数据重置可消除可能滥用设备数据的风险。
- 3 级交互式访问: 交互式命令执行:可能包括基于 shell 的后门、引入代码、拉取文件、运行命令。 建议的补救措施将消除捕获取证工件的可能性。
建议的补救措施: 更新到最新的 PAN-OS 修补程序并执行恢复出厂设置
建议修正的原因: 由于有证据表明存在更具侵入性的威胁参与者活动,因此建议恢复出厂设置。
链接到 Unit 42 威胁简报: https://security.paloaltonetworks.com/CVE-2024-3400