बीएसआई ने चेतावनी दी है: पैन-ओएस ऑपरेटिंग सिस्टम में एक स्पष्ट, गंभीर भेद्यता है जिसे 10.0 में से 10 के सीवीएसएस मान के साथ रेट किया गया था। कंपनियों को तुरंत कार्रवाई करनी चाहिए और आगामी पैच लागू करना चाहिए या उपलब्ध वर्कअराउंड का उपयोग करना चाहिए।
बीएसआई - सूचना सुरक्षा के संघीय कार्यालय के अनुसार, 12 अप्रैल, 2024 को कंपनी पालो ऑल्टो नेटवर्क्स ने निर्माता के फ़ायरवॉल के ऑपरेटिंग सिस्टम, पैन-ओएस में सक्रिय रूप से शोषण की गई भेद्यता के बारे में एक सलाह प्रकाशित की। CVE-2024-3400 के रूप में पहचानी जाने वाली भेद्यता, ग्लोबलप्रोटेक्ट गेटवे सुविधा में एक ओएस कमांड इंजेक्शन है जो एक अप्रमाणित दूरस्थ हमलावर को फ़ायरवॉल पर रूट विशेषाधिकारों के साथ कोड निष्पादित करने की अनुमति देता है। भेद्यता को सामान्य भेद्यता स्कोरिंग सिस्टम (सीवीएसएस) के अनुसार उच्चतम मूल्य 10.0 ("महत्वपूर्ण"; सीवीएसएस 4.0) के साथ रेट किया गया था।
फ़ायरवॉल और ऑपरेटिंग सिस्टम प्रभावित
CVE-2024-3400 भेद्यता फ़ायरवॉल को प्रभावित करती है:
- PAN-OS 11.1 संस्करण <11.1.2-h3 के साथ
- PAN-OS 11.0 संस्करण <11.0.4-h1 के साथ
- PAN-OS 10.2 संस्करण <10.2.9-h1 के साथ
ग्लोबलप्रोटेक्ट गेटवे कॉन्फ़िगर और टेलीमेट्री सुविधा सक्रिय होने के साथ.
यदि उल्लिखित कॉन्फ़िगरेशन में से एक सक्रिय नहीं है, तो शोषण संभव नहीं है। पैन-ओएस (10.1, 10.0, 9.1 और 9.0) के पुराने संस्करण, क्लाउड समाधान एनजीएफडब्ल्यू, पैनोरमा उपकरण और प्रिज्मा एक्सेस प्रभावित नहीं होंगे!
पैच (11.1.2-एच3, 11.0.4-एच1, 10.2.9-एच1) एडवाइजरी में दी गई जानकारी के अनुसार 14 अप्रैल, 2024 को रिलीज़ होने की उम्मीद है। पालो ऑल्टो नेटवर्क्स का कहना है कि उसने इस भेद्यता का उपयोग करके सीमित संख्या में हमले देखे हैं।
त्वरित उपाय और समाधान
फिलहाल कोई पैच उपलब्ध नहीं है. हालाँकि, ये संभवतः 14 अप्रैल, 2024 से उपलब्ध होने चाहिए।
ऑपरेटरों को तुरंत जांच करनी चाहिए कि क्या वे भेद्यता से प्रभावित हैं। ऐसा करने के लिए, आप नेटवर्क > ग्लोबलप्रोटेक्ट > गेटवे के अंतर्गत वेब इंटरफ़ेस में जांच सकते हैं कि क्या "ग्लोबलप्रोटेक्ट गेटवे" कॉन्फ़िगर किया गया है और डिवाइस > सेटअप > टेलीमेट्री के अंतर्गत टेलीमेट्री सुविधा सक्रिय है या नहीं। यदि यह मामला है, तो पालो ऑल्टो द्वारा अनुशंसित समाधानों में से एक का तत्काल उपयोग किया जाना चाहिए।
समाधान 1
संस्थानों को प्रभावित उपकरणों पर टेलीमेट्री सुविधा को अक्षम कर देना चाहिएजब तक PAN-OS का वर्जन अपडेट नहीं हो जाता. अद्यतन स्थापित करने के बाद, टेलीमेट्री विकल्प को मैन्युअल रूप से पुनः सक्रिय किया जाना चाहिए।
समाधान 2
पालो ऑल्टो की खतरा निवारण सेवा का उपयोग करने वाले संस्थान थ्रेट आईडी 95187 को सक्षम करके हमलों को रोक सकते हैं। इसके अलावा, ग्लोबलप्रोटेक्ट इंटरफ़ेस पर भेद्यता सुरक्षा को सक्रिय किया जाना चाहिए.
क्या फ़ायरवॉल पर पहले ही हमला हो चुका है?
यह जांचने के लिए कि क्या फ़ायरवॉल से पहले ही समझौता किया जा चुका है, पालो अल्टो नेटवर्क ग्राहक सहायता पोर्टल (सीएसपी) में।एक "तकनीकी सहायता फ़ाइल" (टीएसएफ) अपलोड करने और भेद्यता के शोषण के लिए इसकी जाँच करने के लिए।
BSI.Bund.de पर अधिक
सूचना सुरक्षा के लिए संघीय कार्यालय (BSI) के बारे में सूचना सुरक्षा के लिए संघीय कार्यालय (BSI) संघीय साइबर सुरक्षा प्राधिकरण और जर्मनी में सुरक्षित डिजिटलीकरण का डिज़ाइनर है। मिशन वक्तव्य: बीएसआई, संघीय साइबर सुरक्षा प्राधिकरण के रूप में, राज्य, व्यापार और समाज के लिए रोकथाम, पहचान और प्रतिक्रिया के माध्यम से डिजिटलीकरण में सूचना सुरक्षा को डिजाइन करता है।