Conscia sårbarhetsvarsel:
Palo Alto Networks

Palo Alto Networks har sluppet en advisory om sårbarheter på deres brannmurplattform (NGFW).

Sårbarheten er begrenset til:

PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1, og PAN-OS 11.2 software på PA-Series, VM-Series, og CN-Series firewalls samt på Panorama (virtual and M-Series) og WildFire appliances.

Informasjon fra Palo Alto Networks finnes her:

https://securityadvisories.paloaltonetworks.com/CVE-2024-0012

https://securityadvisories.paloaltonetworks.com/CVE-2024-9474

Det ene sårbarheten kan lede til at den andre blir utnyttet også.

  • CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)
  • CVE-2024-9474 PAN-OS: Privilege Escalation (PE) Vulnerability in the Web Management Interface

Palo Alto Networks har proaktivt sjekket for kunders såbare enheter som er tilkoblet internet, en oversikt over dette kan kunder finne i supportportalen til Palo Alto (CSP): https://support.paloaltonetworks.com (Products → Assets → All Assets → Remediation Required).

 

Conscias sikkerhetseksperter har gått gjennom sårbarhetene og har følgende informasjon:

 

CVE-2024-0012

Dette er en Mmanagement Interface Bypass-sårbarhet. Kritikaliteten av denne økes dersom:

  • Management Interface er tilgjengelig mot internett
  • Management Interface ikke har noen begrensninger på hvilke IP-adresser som kan nå dette
  • Management Interface er tilgjengelig på datainterface uten granuler tilgangsstyring

Herding av Management Interface bør utføres ihht. best practice for å redusere risiko for slike sårbarheter https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431

Workaround

Konfigurer management ihht. best practice.

Hvis du har en Threat Protection lisens kan du blokkere slike angrep med følgende threat Ids: 95746, 95747, 95752, 95753, 95759, og 95763.

Følg guide på PaloAlto Networks, under “Workarounds and mitigations” for å gjøre dette.

CVE-2024-9474

Dette er en Management Interface Privilege Escalation-sårbarhet. Kritikaliteten av denne økes dersom:

  • Management Interface tilgjengelig mot internett
  • Management Interface ikke har noen begrensninger på hvilke IP-adresser som kan nå dette
  • Management Interface er tilgjengelig på datainterface uten granulert tilgangsstyring

Herding av Management Interface bør utføres ihht. best practice for å redusere risiko for slike sårbarheter https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431

Workaround

Konfigurer management ihht. best practice.

 

Oppdaterte versjoner

Følgende er en liste av patched releases hvor begge sårbarheter er utbedret:

Additional PAN-OS 11.2 fixes:

​​11.2.0-h1

11.2.1-h1

11.2.2-h2

11.2.3-h3

11.2.4-h1

Additional PAN-OS 11.1 fixes:

11.1.0-h4

11.1.1-h2

11.1.2-h15

11.1.3-h11

11.1.4-h7

11.1.5-h1

Additional PAN-OS 11.0 fixes:

11.0.0-h4

11.0.1-h5

11.0.2-h5

11.0.3-h13

11.0.4-h6

11.0.5-h2

11.0.6-h1

Additional PAN-OS 10.2 fixes:

10.2.0-h4

10.2.1-h3

10.2.2-h6

10.2.3-h14

10.2.4-h32

10.2.5-h9

10.2.6-h6

10.2.7-h18

10.2.8-h15

10.2.9-h16

10.2.10-h9

10.2.11-h6

10.2.12-h2

 

Ønsker du bistand fra Conscia?

Ta kontakt

Kontakt
Ta kontakt med Conscias eksperter