Krytyczna podatność w funkcji GlobalProtect systemu PAN-OS firmy Palo Alto Networks umożliwia nieuwierzytelnionemu atakującemu zdalne wykonanie dowolnego kodu z uprawnieniami root na urządzeniu firewall. Podatność jest aktywnie wykorzystywana w atakach i uzyskała maksymalny wynik CVSS 10.0.
▸ Pokaż oryginał (EN)
A command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurations may enable an unauthenticated attacker to execute arbitrary code with root privileges on the firewall. Cloud NGFW, Panorama appliances, and Prisma Access are not impacted by this vulnerability.
Podatność wynika z połączenia możliwości tworzenia dowolnych plików (arbitrary file creation) z błędem command injection (CWE-77) w komponencie GlobalProtect. Atakujący, bez żadnego uwierzytelnienia, może spreparować żądanie sieciowe, które skutkuje utworzeniem złośliwego pliku w systemie, a następnie wykonaniem osadzonych w nim poleceń systemowych z poziomem uprawnień root. Podatność dotyczy specyficznych wersji PAN-OS oraz określonych konfiguracji funkcji GlobalProtect.
Atakujący uzyskuje pełną kontrolę nad urządzeniem firewall z uprawnieniami root, co umożliwia odczyt i modyfikację konfiguracji, przechwycenie ruchu sieciowego, lateral movement do sieci wewnętrznej oraz trwałe skompromitowanie infrastruktury bezpieczeństwa.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami opublikowanymi pod adresem https://security.paloaltonetworks.com/CVE-2024-3400. Do czasu aktualizacji zaleca się weryfikację konfiguracji GlobalProtect oraz monitorowanie urządzeń pod kątem oznak kompromitacji.
Palo Alto Networks PAN-OS — określone wersje z aktywną funkcją GlobalProtect. Podatność NIE dotyczy Cloud NGFW, urządzeń Panorama ani Prisma Access. Szczegółowe wykazy wersji dostępne są w referencjach producenta (security.paloaltonetworks.com/CVE-2024-3400).
Podatność została sklasyfikowana jako zero-day — według referencji (volexity.com) exploitacja była obserwowana w dniu publicznego ujawnienia, tj. 12 kwietnia 2024 r. Podatność jest uwzględniona w katalogu CISA KEV jako aktywnie exploitowana.
CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:HPalo Alto Networks PAN-OS
OSPaloaltonetworks10.2.010.2.110.2.210.2.310.2.410.2.510.2.610.2.710.2.810.2.911.0.011.0.111.0.211.0.311.0.4+ 3 więcej
CISA KEV — szczegółyi
- Dostawcai
- Palo Alto Networks ↗
- Produkti
- PAN-OS
- Data dodania do KEVi
- 12 kwietnia 2024
- Termin remediation (USA)i
- 19 kwietnia 2024(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami dostawcy, gdy będą dostępne. W przypadku braku aktualizacji użytkownicy posiadający podatne wersje urządzeń powinni włączyć Threat Prevention IDs dostępne od dostawcy. Zobacz biuletyn dostawcy, aby uzyskać więcej szczegółów i harmonogram wydania poprawek.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions as they become available. Otherwise, users with vulnerable versions of affected devices should enable Threat Prevention IDs available from the vendor. See the vendor bulletin for more details and a patch release schedule.
Funkcja Palo Alto Networks PAN-OS GlobalProtect zawiera lukę w postaci command injection, która umożliwia nieuwierzytelnionemu atakującemu wykonanie poleceń z uprawnieniami root na firewall'u.
▸ Pokaż oryginał (EN)
Palo Alto Networks PAN-OS GlobalProtect feature contains a command injection vulnerability that allows an unauthenticated attacker to execute commands with root privileges on the firewall.
Powiązane podatności
Buffer overflow RCE z uprawnieniami root w PAN-OS Captive Portal
Authentication bypass w PAN-OS umożliwiający przejęcie uprawnień administratora
When Security Assertion Markup Language (SAML) authentication is enabled and the 'Validate Identity Provider C...
Palo Alto Networks PAN-OS before 6.1.19, 7.0.x before 7.0.19, 7.1.x before 7.1.14, and 8.0.x before 8.0.6 allo...
A memory corruption vulnerability exists in Palo Alto Networks GlobalProtect portal and gateway interfaces tha...