CRITICAL🚩 CISA KEV⚡ EXPLOIT🇬🇧 English

CVE-2024-3400

RCE jako root w GlobalProtect — command injection w PAN-OS

CVSS 10.0v3.1pub. 2024-04-12upd. 2025-11-04

Krytyczna podatność w funkcji GlobalProtect systemu PAN-OS firmy Palo Alto Networks umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu z uprawnieniami root na urządzeniu firewall. Podatność jest aktywnie wykorzystywana w atakach i uzyskała maksymalny wynik CVSS 10.0.

Pokaż oryginał (EN)

A command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurations may enable an unauthenticated attacker to execute arbitrary code with root privileges on the firewall. Cloud NGFW, Panorama appliances, and Prisma Access are not impacted by this vulnerability.

🤖 Analiza AI
Jak działa

Podatność wynika z połączenia możliwości tworzenia dowolnych plików (arbitrary file creation) z błędem command injection (CWE-77) w komponencie GlobalProtect. Atakujący, bez żadnego uwierzytelnienia, może spreparować żądanie sieciowe, które skutkuje utworzeniem złośliwego pliku w systemie, a następnie wykonaniem osadzonych w nim poleceń systemowych z poziomem uprawnień root. Podatność dotyczy specyficznych wersji PAN-OS oraz określonych konfiguracji funkcji GlobalProtect.

Skutki

Atakujący uzyskuje pełną kontrolę nad urządzeniem firewall z uprawnieniami root, co umożliwia odczyt i modyfikację konfiguracji, przechwycenie ruchu sieciowego, lateral movement do sieci wewnętrznej oraz trwałe skompromitowanie infrastruktury bezpieczeństwa.

Mitygacja

Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://security.paloaltonetworks.com/CVE-2024-3400. Do czasu aktualizacji zaleca się weryfikację konfiguracji GlobalProtect oraz monitorowanie urządzeń pod kątem oznak kompromitacji.

Kogo dotyczy

Palo Alto Networks PAN-OS — określone wersje z aktywną funkcją GlobalProtect. Podatność NIE dotyczy Cloud NGFW, urządzeń Panorama ani Prisma Access. Szczegółowe wykazy wersji dostępne są w referencjach producenta (security.paloaltonetworks.com/CVE-2024-3400).

Uwagi

Podatność została sklasyfikowana jako zero-day — według referencji (volexity.com) exploitacja była obserwowana w dniu publicznego ujawnienia, tj. 12 kwietnia 2024 r. Podatność jest uwzględniona w katalogu CISA KEV jako aktywnie exploitowana.

CVSS Vector
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H
  • Palo Alto Networks PAN-OS

    OS
    Paloaltonetworks
    10.2.010.2.110.2.210.2.310.2.410.2.510.2.610.2.710.2.810.2.911.0.011.0.111.0.211.0.311.0.4+ 3 więcej

CISA KEV — szczegółyi

Dostawcai
Palo Alto Networks
Produkti
PAN-OS
Data dodania do KEVi
12 kwietnia 2024
Termin remediation (USA)i
19 kwietnia 2024(po terminie)
Ransomwarei
Aktywne kampanie ransomware używają tej podatności
Wymagana akcja (CISA)i

Zastosuj mitygacje zgodnie z instrukcjami dostawcy, gdy będą dostępne. W przypadku braku aktualizacji użytkownicy posiadający podatne wersje urządzeń powinni włączyć Threat Prevention IDs dostępne od dostawcy. Zobacz biuletyn dostawcy, aby uzyskać więcej szczegółów i harmonogram wydania poprawek.

tłumaczenie AI
Pokaż oryginał (EN)

Apply mitigations per vendor instructions as they become available. Otherwise, users with vulnerable versions of affected devices should enable Threat Prevention IDs available from the vendor. See the vendor bulletin for more details and a patch release schedule.

Opis CISAi

Funkcja Palo Alto Networks PAN-OS GlobalProtect zawiera lukę w postaci command injection, która umożliwia nieuwierzytelnionemu atakującemu wykonanie poleceń z uprawnieniami root na firewall'u.

tłumaczenie AI
Pokaż oryginał (EN)

Palo Alto Networks PAN-OS GlobalProtect feature contains a command injection vulnerability that allows an unauthenticated attacker to execute commands with root privileges on the firewall.

🔴
NATYCHMIASTOWE DZIAŁANIE
Aktywnie wykorzystywane w atakach (CISA KEV). Załataj jak najszybciej.
☠️WYKORZYSTYWANE W RANSOMWARECISA DEADLINE: 19 kwietnia 2024
Tagi
RCEAuth BypassFirewallVPN
CWE
Referencje

Powiązane podatności

CVE-2026-0300CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Buffer overflow RCE z uprawnieniami root w PAN-OS Captive Portal

CVE-2024-0012CRITICAL9.3⚠ KEVPL ✓ten sam produkt

Authentication bypass w PAN-OS umożliwiający przejęcie uprawnień administratora

CVE-2020-2021CRITICAL10.0⚠ KEVten sam produkt

When Security Assertion Markup Language (SAML) authentication is enabled and the 'Validate Identity Provider C...

CVE-2017-15944CRITICAL9.8⚠ KEVten sam produkt

Palo Alto Networks PAN-OS before 6.1.19, 7.0.x before 7.0.19, 7.1.x before 7.1.14, and 8.0.x before 8.0.6 allo...

CVE-2021-3064CRITICAL9.8ten sam produkt

A memory corruption vulnerability exists in Palo Alto Networks GlobalProtect portal and gateway interfaces tha...