KRITISK sårbarhet för kommandoinjektion i GlobalProtect Gateway – CVE-2024-3400

OBS, viktigt uppdatering 17/4-24:

Att tillfälligt inaktivera enhetens telemetrit har tyvärr visat sig otillräckligt.

Ny information (17/4): Denna sårbarhet i GlobalProtect som tidigare sades kunna mitigeras genom att stänga av Device Telemetry i PAN-OS, visade sig inte räcka för att stoppa en angripare att utnyttja sårbarheten.
Det enda som just nu kan mitigera sårbarheten är att uppgradera till en icke sårbar PAN-OS version (Se nedan avsnitt ”Lösning för sårbarheten”)

Beskrivning av sårbarheten

En sårbarhet för kommandoinjektion i GlobalProtect VPN funktionen i Palo Alto Networks PAN-OS-programvara för specifika PAN-OS-versioner och distinkta funktionskonfigurationer kan göra det möjligt för en obehörig angripare att utföra godtycklig kod med root-privilegier på brandväggen.

Fixar för PAN-OS 10.2, PAN-OS 11.0 och PAN-OS 11.1 är under utveckling och förväntas släppas senast den 14 april 2024. Cloud NGFW, Panorama managemet och Prisma Access påverkas inte av den här sårbarheten. Alla andra versioner av PAN-OS påverkas inte heller.

Detta är mycket allvarligt och vi rekommenderar att uppgradera PAN-OS till en patchad version snarast. Se nedan.

Produktstatus (2024-04-12)

Versioner Påverkad EJ Påverkad
Cloud NGFW Ingen Alla
PAN-OS 11.1 < 11.1.2-h3 >= 11.1.2-h3
(Se hotfixar i avsnitt Lösningar)
PAN-OS 11.0 < 11.0.4-h1 >= 11.0.4-h1
(Se hotfixar i avsnitt Lösningar)
PAN-OS 10.2 < 10.2.9-h1 >= 10.2.9-h1
(Se hotfixar i avsnitt Lösningar)
PAN-OS 10.1 Ingen Alla
PAN-OS 10.0 Ingen Alla
PAN-OS 9.1 Ingen Alla
PAN-OS 9.0 Ingen Alla
Prisma Access Ingen Alla

 

Nödvändig konfiguration om du exponerar GlobalProtect Gateway

Ny information (17/4): Detta problem gäller endast PAN-OS 10.2, PAN-OS 11.0 och PAN-OS 11.1 brandväggar som är konfigurerade med GlobalProtect Gateway eller GlobalProtect Portal (eller båda aktiverade). Device telemetry behöver inte vara aktiverat för att PAN-OS brandväggarna är sårbar för attacker relaterade till den här sårbarheten.

Du kan kontrollera om du har konfigurerat en GlobalProtect-gateway genom att söka efter poster i brandväggens webbgränssnitt (Network > GlobalProtect > Gateways) och kontrollera om du har aktiverat enhetstelemetri genom att söka i brandväggens webbgränssnitt (Device > Settings > Telemetry).

Allvarlighetsgrad: KRITISK

CVSSv4.0 Base Score: 10
(CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:H/SI:H/SA:H/AU:Y/R:U/V:C/RE:M/U:Red)

Status för exploatering

Palo Alto Networks känner till ett begränsat antal attacker som utnyttjar den här sårbarheten.

Sårbarhetstyp

Obehörig kommando-injektion med högsta behörighetsnivån;
CWE-77 Felaktig neutralisering av specialelement som används i ett kommando (’Command Injection’)

Lösning för Sårbarheten

Det här problemet är åtgärdat i hotfix-versioner i PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 och PAN-OS 11.1.2-h3, och i alla senare PAN-OS-versioner. Planerat datum för dessa hotfix-versioner är den 14 april 2024. Hotfixar för andra vanliga underhållsversioner kommer också att göras tillgängliga för att hantera detta problem. Se detaljerna nedan för beräknad ankomsttid för de kommande hotfixarna.

PAN-OS 10.2:
– 10.2.9-h1 (Släppt 4/14/24) Tillgänglig för patchning
– 10.2.8-h3 (Släppt: 4/16/24) Tillgänglig för patchning
– 10.2.7-h8 (Släppt: 4/16/24) Tillgänglig för patchning
– 10.2.6-h3 (Släppt: 4/17/24) Tillgänglig för patchning
– 10.2.5-h6 (Släppt: 4/17/24) Tillgänglig för patchning
– 10.2.3-h13 (ETA: 4/17/24)
– 10.2.1-h2 (ETA: 4/17/24)
– 10.2.2-h5 (ETA: 4/18/24)
– 10.2.0-h3 (ETA: 4/18/24)
– 10.2.4-h16 (ETA: 4/19/24)

PAN-OS 11.0:
– 11.0.4-h1 (Släppt 4/14/24) Tillgänglig för patchning
– 11.0.3-h10 (Släppt: 4/17/24) Tillgänglig för patchning
– 11.0.2-h4 (Släppt: 4/17/24) Tillgänglig för patchning
– 11.0.1-h4 (ETA: 4/17/24)
– 11.0.0-h3 (ETA: 4/18/24)

PAN-OS 11.1:
– 11.1.2-h3 (Släppt 4/14/24) Tillgänglig för patchning
– 11.1.1-h1 (Släppt: 4/17/24) Tillgänglig för patchning
– 11.1.0-h3 (Släppt: 4/17/24) Tillgänglig för patchning

Mildrande åtgärder att göra just nu

Rekommenderad lösning: Ny information (17/4): Kunder med GlobalProtect aktiverat på sina Palo Alto brandväggar bör uppgradera till en icke sårbar version snarast möjligt. Detta då tidigare förmildrande åtgärd att avaktivera Telemetri data har visat sig inte mitigera sårbarheten i GlobalProtect. 

Kunder med en prenumeration på Threat Prevention kan blockera attacker för den här sårbarheten genom att aktivera Threat ID 95187 (introducerat i Applications and Threats innehållsversion 8833-8682).

Detta betyder att om ni har automatisk installation av dynamiska uppdateringar, kontrollera att version 8833-8682 eller senare är installerad, samt att Vulnerability Protection profilen är aktiverad på säkerhetsregeln för inkommande GlobalProtect trafik.

Om ni endast vill aktivera Threat ID 95187 måste ni se till att vulnerability protection profilen med Threat ID 95187 har tillämpats på ert GlobalProtect-interface för att förhindra utnyttjande av denna sårbarhet.

Tillämpa vulnerability protection

 

Har du blivit utsatt för angrepp?

Fråga:
Finns det några kontroller som jag kan köra på min enhet för att leta efter indikatorer på exploateringsaktivitet?

Svar:
Följande kommando kan användas från PAN-OS CLI för att identifiera indikatorer på exploateringsaktivitet på enheten:

grep pattern ”failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Godartade felloggar för ”failed to unmarshal session” ser vanligtvis ut som följande post:

”message”:”failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)”

Om värdet mellan ”session(” and ”)” inte ser ut som ett GUID (det format som visas ovan), utan istället innehåller en filsystemsökväg, indikerar detta behovet av ytterligare undersökning och loggposten kan vara relaterad till en lyckad eller misslyckad exploatering av CVE-2024-3400.

 

Uppdateringar av sårbarheten finns att läsa länk nedan:

Palo Alto Networks Security Advisories

Det finns mer information kring indicatiors of compromise på Unit42 hemsida:

Unit 42 Threat Brief

 

Behöver du hjälp?

Kontakta oss om du behöver hjälp eller har några frågor.

[email protected]

Telefon: 08-650 1520.

Kontakta din säljare:

Medarbetare

Kontakta oss!
Svar inom 24h