Update#3: Kritische Sicherheitslücke in Palo Alto PAN-OS (Global Protect) aktiv ausgenützt - Patches verfügbar
Update#1: 15. April 2024
Fixed Versions hinzugefügt
Update#2: 18. April 2024
Weitere fixed Versions hinzugefügt, Mitigation mittels Deaktivierung von Telemetry korrigiert, ThreatIDs, aktive Ausnützung
Update#3: 19. April 2024
Weitere fixed Versions hinzugefügt
Beschreibung
In Palo Altos PAN-OS GlobalProtect-Funktion wurde eine kritische Sicherheitslücke identifiziert, welche das Einschleusen von Kommandos erlaubt. Update #2: Die Schwachstelle wird in der Zwischenzeit aktiv ausgenützt. Zur Ausnutzung der Schwachstelle muss ein Gateway konfiguriert, und die sogenannte "Device Telemetry" aktiviert sein (zweiteres ist den betroffenen Versionen standardmäßig gegeben). Da noch keine Updates verfügbar sind, kann die Schwachstelle lediglich durch Konfigurationsänderungen mitigiert werden - beachten Sie den Abschnitt "Abhilfe".
CVE-Nummer: CVE-2024-3400
CVSS Base Score: 10.0
Auswirkungen
Unauthentifizierte Angreifer:innen können die Schwachstelle aus dem Netzwerk ausnutzen, und dadurch Kommandos mit erhöhten Rechten (root
) ausführen.
Betroffene Systeme
Betroffen sind Systeme auf denen eine der folgenden PAN-OS-Versionen (oder niedriger) läuft, und "Device-Telemetry" aktiviert ist:
- PAN-OS 11.1.2-h3
- PAN-OS 11.0.4-h1
- PAN-OS 10.2 < 10.2.9-h1
Update#1: Palo Alto hat die ersten Patches bereitgestellt. In den nachstehenden Versionen wurde die Sicherheitslücke bereits behoben, Updates für andere betroffene Versionen sollen in den nächsten Tagen erscheinen.
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1
- PAN-OS 11.1.2-h3
Update#2: Palo Alto hat weitere Patches bereitgestellt:
- 10.2.6-h3
- 10.2.5-h6
- 11.0.4-h2
- 11.0.3-h10
- 11.0.2-h4
- 11.1.1-h1
- 11.1.0-h3
Update#3:
- 10.2.4-h16
- 10.2.3-h13
- 10.2.2-h5
- 10.2.1-h2
- 10.2.0-h3
- 11.0.4-h1
- 11.0.4-h2
- 11.0.3-h10
- 11.0.2-h4
- 11.0.1-h4
- 11.0.0-h3
- 11.1.2-h3
- 11.1.1-h1
- 11.1.0-h3
Abhilfe
Updates werden laut Hersteller ab 14. April zur Verfügung gestellt. Update#2: Deaktivieren der Device Telemetry ist keine ausreichende Mitigation. Kunden mit einer Threat Prevention subscription, können die betroffenen Geräte durch Hinzufügen der Threat IDs 95187, 95189 und 95191 absichern. In der Zwischenzeit wird empfohlen die "Device Telemetry" zu deaktivieren. Die Einstellung hierzu finden Sie im Menü-Punkt Device > Setup > Telemetry.
Informationsquelle(n):
CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway
https://security.paloaltonetworks.com/CVE-2024-3400
Palo Alto TECHDOCS: Enable Device Telemetry
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-enable