O BSI alerta: O sistema operacional PAN-OS tem uma vulnerabilidade crítica e flagrante que foi avaliada com um valor CVSS de 10.0 em 10. As empresas devem agir imediatamente e aplicar os próximos patches ou usar as soluções alternativas disponíveis.
Segundo o BSI – Escritório Federal de Segurança da Informação, em 12 de abril de 2024, a empresa Palo Alto Networks publicou um comunicado sobre uma vulnerabilidade explorada ativamente no PAN-OS, sistema operacional dos firewalls do fabricante. A vulnerabilidade, identificada como CVE-2024-3400, é uma injeção de comando do sistema operacional no recurso GlobalProtect Gateway que permite que um invasor remoto não autenticado execute código com privilégios de root no firewall. A vulnerabilidade foi classificada de acordo com o Common Vulnerability Scoring System (CVSS) com o valor mais alto 10.0 (“crítica”; CVSS 4.0).
Firewalls e sistemas operacionais afetados
A vulnerabilidade CVE-2024-3400 afeta firewalls com:
- PAN-OS 11.1 com versão <11.1.2-h3
- PAN-OS 11.0 com versão <11.0.4-h1
- PAN-OS 10.2 com versão <10.2.9-h1
com GlobalProtect Gateway configurado e recurso de telemetria ativado.
Se uma das configurações mencionadas não estiver ativada, a exploração não será possível. As versões mais antigas do PAN-OS (10.1, 10.0, 9.1 e 9.0), a solução em nuvem NGFW, Panorama Appliances e Prisma Access não são afetadas!
Os patches (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) conforme informações da assessoria previsto para ser lançado em 14 de abril de 2024. A Palo Alto Networks afirma ter observado um número limitado de ataques usando esta vulnerabilidade.
Medidas rápidas e soluções alternativas
Atualmente não há patches disponíveis. No entanto, provavelmente deverão estar disponíveis a partir de 14 de abril de 2024.
Os operadores devem verificar rapidamente se são afetados pela vulnerabilidade. Para fazer isso, você pode verificar na interface web em Rede > GlobalProtect > Gateways se o “GlobalProtect Gateway” está configurado e em Dispositivo > Configuração > Telemetria se o recurso de telemetria está ativado. Se for esse o caso, uma das soluções alternativas recomendadas por Palo Alto deve ser usada com urgência.
Solução alternativa 1
Instituições devem desativar recurso de telemetria nos dispositivos afetadosaté que a versão do PAN-OS seja atualizada. Após instalar a atualização, a opção de telemetria deverá ser reativada manualmente.
Solução alternativa 2
As instituições que usam o serviço de Prevenção de Ameaças de Palo Alto podem bloquear ataques ativando o Threat ID 95187. Além disso, a proteção contra vulnerabilidades deve ser ativada na interface GlobalProtect.
O firewall já foi atacado?
Para verificar se o firewall já foi comprometido, a Palo Alto Networks no Portal de Suporte ao Cliente (CSP).fazer upload de um “arquivo de suporte técnico” (TSF) e verificá-lo quanto à exploração da vulnerabilidade.
Mais em BSI.Bund.de
Sobre o Escritório Federal de Segurança da Informação (BSI) O Escritório Federal de Segurança da Informação (BSI) é a autoridade federal de segurança cibernética e o criador da digitalização segura na Alemanha. A declaração de missão: O BSI, como autoridade federal de segurança cibernética, projeta segurança da informação na digitalização por meio de prevenção, detecção e resposta para o estado, negócios e sociedade.