Il BSI avverte: il sistema operativo PAN-OS presenta una vulnerabilità critica evidente, valutata con un valore CVSS di 10.0 su 10. Le aziende dovrebbero agire immediatamente e applicare le patch future o utilizzare le soluzioni alternative disponibili.
Secondo BSI - Ufficio federale per la sicurezza informatica, il 12 aprile 2024 la società Palo Alto Networks ha pubblicato un avviso su una vulnerabilità sfruttata attivamente in PAN-OS, il sistema operativo dei firewall del produttore. La vulnerabilità, identificata come CVE-2024-3400, è un'iniezione di comandi del sistema operativo nella funzionalità GlobalProtect Gateway che consente a un utente malintenzionato remoto non autenticato di eseguire codice con privilegi di root sul firewall. La vulnerabilità è stata valutata secondo il Common Vulnerability Scoring System (CVSS) con il valore più alto 10.0 (“critico”; CVSS 4.0).
Firewall e sistemi operativi interessati
La vulnerabilità CVE-2024-3400 colpisce i firewall con:
- PAN-OS 11.1 con versione < 11.1.2-h3
- PAN-OS 11.0 con versione < 11.0.4-h1
- PAN-OS 10.2 con versione < 10.2.9-h1
con GlobalProtect Gateway configurato e la funzionalità di telemetria attivata.
Se una delle configurazioni menzionate non è attivata, lo sfruttamento non è possibile. Le versioni precedenti di PAN-OS (10.1, 10.0, 9.1 e 9.0), la soluzione cloud NGFW, Panorama Appliances e Prisma Access non sono interessate!
Le patch (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) secondo quanto riportato nell'avviso dovrebbe essere rilasciato il 14 aprile 2024. Palo Alto Networks afferma di aver osservato un numero limitato di attacchi che utilizzano questa vulnerabilità.
Misure rapide e soluzioni alternative
Al momento non ci sono patch disponibili. Tuttavia, questi dovrebbero probabilmente essere disponibili dal 14 aprile 2024.
Gli operatori dovrebbero verificare rapidamente se sono interessati dalla vulnerabilità. A tale scopo è possibile verificare nell'interfaccia web in Rete > GlobalProtect > Gateway se "GlobalProtect Gateway" è configurato e in Dispositivo > Impostazione > Telemetria se la funzione di telemetria è attivata. In tal caso, è necessario utilizzare urgentemente una delle soluzioni alternative consigliate da Palo Alto.
Soluzione alternativa 1
Le istituzioni dovrebbero disabilitare la funzione di telemetria sui dispositivi interessatifino all'aggiornamento della versione di PAN-OS. Dopo aver installato l'aggiornamento, l'opzione di telemetria deve essere riattivata manualmente.
Soluzione alternativa 2
Le istituzioni che utilizzano il servizio di prevenzione delle minacce di Palo Alto possono bloccare gli attacchi abilitando l'ID minaccia 95187. Inoltre, la protezione dalle vulnerabilità deve essere attivata sull'interfaccia GlobalProtect.
Il firewall è già stato attaccato?
Per verificare se il firewall è già stato compromesso, Palo Alto Networks nel portale di assistenza clienti (CSP).caricare un “file di supporto tecnico” (TSF) e farlo verificare per lo sfruttamento della vulnerabilità.
Maggiori informazioni su BSI.Bund.de
Informazioni sull'Ufficio federale per la sicurezza delle informazioni (BSI) L'Ufficio federale per la sicurezza informatica (BSI) è l'autorità federale per la sicurezza informatica e il progettista della digitalizzazione sicura in Germania. La missione: la BSI, in qualità di autorità federale per la sicurezza informatica, progetta la sicurezza delle informazioni nella digitalizzazione attraverso la prevenzione, il rilevamento e la risposta per lo stato, le imprese e la società.