BSI попереджає: операційна система PAN-OS має явну, критичну вразливість, яка була оцінена зі значенням CVSS 10.0 з 10. Компанії повинні діяти негайно та застосувати майбутні виправлення або використати доступні обхідні шляхи.
За даними BSI - Федерального відомства з інформаційної безпеки, 12 квітня 2024 року компанія Palo Alto Networks опублікувала пораду про активно експлуатовану вразливість у PAN-OS, операційній системі брандмауерів виробника. Уразливість, ідентифікована як CVE-2024-3400, являє собою ін’єкцію команди ОС у функції GlobalProtect Gateway, яка дозволяє неавтентифікованому віддаленому зловмиснику виконувати код із привілеями root на брандмауері. Уразливість була оцінена відповідно до загальної системи оцінки вразливостей (CVSS) із найвищим значенням 10.0 («критична»; CVSS 4.0).
Уражені брандмауери та операційні системи
Уразливість CVE-2024-3400 впливає на брандмауери з:
- PAN-OS 11.1 з версією < 11.1.2-h3
- PAN-OS 11.0 з версією < 11.0.4-h1
- PAN-OS 10.2 з версією < 10.2.9-h1
із налаштованим GlobalProtect Gateway і активованою функцією телеметрії.
Якщо одна зі згаданих конфігурацій не активована, експлуатація неможлива. Це не стосується старіших версій PAN-OS (10.1, 10.0, 9.1 і 9.0), хмарного рішення NGFW, Panorama Appliances і Prisma Access!
Патчі (11.1.2-h3, 11.0.4-h1, 10.2.9-h1) згідно з інформацією в консультації Очікується, що вийде 14 квітня 2024 року. Palo Alto Networks каже, що спостерігала обмежену кількість атак з використанням цієї вразливості.
Швидкі заходи та обхідні шляхи
Наразі немає доступних патчів. Однак вони, ймовірно, мають бути доступні з 14 квітня 2024 року.
Операторам слід швидко перевірити, чи зазнали вони вразливості. Для цього ви можете перевірити у веб-інтерфейсі в розділі Мережа > GlobalProtect > Шлюзи, чи налаштовано “GlobalProtect Gateway” і в розділі Пристрій > Налаштування > Телеметрія, чи активовано функцію телеметрії. Якщо це так, слід терміново скористатися одним із способів вирішення проблеми, рекомендованих Пало-Альто.
Обхідний шлях 1
Установам слід вимкнути функцію телеметрії на заражених пристрояхдо оновлення версії PAN-OS. Після встановлення оновлення опцію телеметрії потрібно повторно активувати вручну.
Обхідний шлях 2
Установи, які використовують службу запобігання загрозам Palo Alto, можуть блокувати атаки, увімкнувши Threat ID 95187. Крім того, в інтерфейсі GlobalProtect має бути активований захист від вразливостей.
Брандмауер вже був атакований?
Щоб перевірити, чи брандмауер уже зламано, Palo Alto Networks на порталі підтримки клієнтів (CSP).щоб завантажити «файл технічної підтримки» (TSF) і перевірити його на використання вразливості.
Більше на BSI.Bund.de
Про Федеральне відомство з інформаційної безпеки (BSI) Федеральне відомство з інформаційної безпеки (BSI) є федеральним органом з кібербезпеки та розробником безпечної цифровізації в Німеччині. Заява місії: BSI, як федеральний орган кібербезпеки, розробляє інформаційну безпеку в оцифровці шляхом запобігання, виявлення та реагування для держави, бізнесу та суспільства.