Palo Alto Networks har sluppet en advisory om sårbarheter på deres brannmurplattform (NGFW).
Sårbarheten er begrenset til:
PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1, og PAN-OS 11.2 software på PA-Series, VM-Series, og CN-Series firewalls samt på Panorama (virtual and M-Series) og WildFire appliances.
Informasjon fra Palo Alto Networks finnes her:
https://securityadvisories.paloaltonetworks.com/CVE-2024-0012
https://securityadvisories.paloaltonetworks.com/CVE-2024-9474
Det ene sårbarheten kan lede til at den andre blir utnyttet også.
- CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)
- CVE-2024-9474 PAN-OS: Privilege Escalation (PE) Vulnerability in the Web Management Interface
Palo Alto Networks har proaktivt sjekket for kunders såbare enheter som er tilkoblet internet, en oversikt over dette kan kunder finne i supportportalen til Palo Alto (CSP): https://support.paloaltonetworks.com (Products → Assets → All Assets → Remediation Required).
Conscias sikkerhetseksperter har gått gjennom sårbarhetene og har følgende informasjon:
CVE-2024-0012
Dette er en Mmanagement Interface Bypass-sårbarhet. Kritikaliteten av denne økes dersom:
- Management Interface er tilgjengelig mot internett
- Management Interface ikke har noen begrensninger på hvilke IP-adresser som kan nå dette
- Management Interface er tilgjengelig på datainterface uten granuler tilgangsstyring
Herding av Management Interface bør utføres ihht. best practice for å redusere risiko for slike sårbarheter https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
Workaround
Konfigurer management ihht. best practice.
Hvis du har en Threat Protection lisens kan du blokkere slike angrep med følgende threat Ids: 95746, 95747, 95752, 95753, 95759, og 95763.
Følg guide på PaloAlto Networks, under “Workarounds and mitigations” for å gjøre dette.
CVE-2024-9474
Dette er en Management Interface Privilege Escalation-sårbarhet. Kritikaliteten av denne økes dersom:
- Management Interface tilgjengelig mot internett
- Management Interface ikke har noen begrensninger på hvilke IP-adresser som kan nå dette
- Management Interface er tilgjengelig på datainterface uten granulert tilgangsstyring
Herding av Management Interface bør utføres ihht. best practice for å redusere risiko for slike sårbarheter https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431
Workaround
Konfigurer management ihht. best practice.
Oppdaterte versjoner
Følgende er en liste av patched releases hvor begge sårbarheter er utbedret:
Additional PAN-OS 11.2 fixes:
11.2.0-h1
11.2.1-h1
11.2.2-h2
11.2.3-h3
11.2.4-h1
Additional PAN-OS 11.1 fixes:
11.1.0-h4
11.1.1-h2
11.1.2-h15
11.1.3-h11
11.1.4-h7
11.1.5-h1
Additional PAN-OS 11.0 fixes:
11.0.0-h4
11.0.1-h5
11.0.2-h5
11.0.3-h13
11.0.4-h6
11.0.5-h2
11.0.6-h1
Additional PAN-OS 10.2 fixes:
10.2.0-h4
10.2.1-h3
10.2.2-h6
10.2.3-h14
10.2.4-h32
10.2.5-h9
10.2.6-h6
10.2.7-h18
10.2.8-h15
10.2.9-h16
10.2.10-h9
10.2.11-h6
10.2.12-h2
Ønsker du bistand fra Conscia?