Kritična ranjivosti u PAN-OS softveru

Dana 12. travnja 2024. godine, tvrtka Palo Alto Networks objavila je sigurnosno upozorenje za kritičnu ranjivost koja utječe na značajku PAN-OS softvera. Ova ranjivost omogućuje neovlaštenom udaljenom napadaču izvršavanje proizvoljnog kôda s root privilegijama na ranjivom uređaju.
Zabilježeno je aktivno iskorištavanje ove ranjivosti, kao i javno dostupni dokazi o konceptu (engl. Proof of Concept) iskorištavanja ranjivosti. Stoga se preporučuje žurna primjena mjera ublažavanja, kao i provođenje koraka provjere predloženih od strane proizvođača.

Tehnički detalji značajnih ranjivosti otklonjenih ovim ažuriranjem: 
Ranjivost CVE-2024-3400 (CVSS ocjena 10.0) predstavlja ranjivost umetanja naredbi (engl. command injection vulnerability) u značajci GlobalProtect u Palo Alto Networks PAN-OS softveru. Ukoliko se iskoristi može omogućiti neovlaštenom udaljenom napadaču izvršavanje proizvoljnog kôda s root privilegijama na vatrozidu.

Zahvaćene su sljedeće verzije proizvoda:
  • PAN-OS 11.1 prije verzije 11.1.2-h3
  • PAN-OS 11.0 prije verzije 11.0.4-h1
  • PAN-OS 10.2 prije verzije 10.2.9-h1
  • PAN-OS 10.2 prije verzije 10.2.8-h3
  • PAN-OS 10.2 prije verzije 10.2.7-h8
Za razliku od početnih izjava, ova ranjivost zahvaća verzije proizvoda s konfiguracijama za GlobalProtect pristupnik (engl. gateway) ili GlobalProtect portalom (ili oboje). Može se provjeriti je li GlobalProtect pristupnik konfiguriran pregledom unosa u sučelju vatrozida (Network > GlobalProtect > Gateways) ili GlobalProtect portal konfiguriran provjerom unosa u sučelja vatrozida (Network > GlobalProtect > Portals).

Preporuke:
Preporučuje se žurno ažuriranje ranjivog softvera na najnoviju dostupnu inačicu. Ukoliko ispravljena zakrpa nije dostupna za ranjivu verziju preporučuje se žurna primjena opisanih mjera ublažavanja ugroze, te provođenje koraka provjere predložene od strane proizvođača.
 
Mjere ublažavanja ugroze temeljene na platformi sprječavanja prijetnji
Klijenti s pretplatom na sprječavanje prijetnji (engl. Threat Prevention) mogu blokirati napade za ovu ranjivost omogućavanjem identifikatora prijetnje 95187 (engl. Threat ID 95187) (uvrštenog u verziji 8833-8682 unutar sadržaja aplikacija i prijetnji (engl. Applications and Threats)).
Osim omogućavanja identifikatora prijetnje 95187, klijenti moraju osigurati da je zaštita od ranjivosti primijenjena na njihovom sučelju GlobalProtect kako bi se spriječilo iskorištavanje ovog problema na njihovom uređaju.

Mjere ublažavanja ugroze temeljene na konfiguraciji
Onemogućavanje telemetrije uređaja više nije učinkovita mjera ublažavanja jer telemetrija uređaja ne mora biti omogućena za izlaganje PAN-OS vatrozida napadima vezanim uz ovu ranjivost.

Mogućnosti detekcije:

Sljedeća naredba može se koristiti iz PAN-OS naredbenog retka s ciljem identificiranja pokazatelja aktivnosti iskorištavanja na uređaju:

grep pattern "failed to unmarshal session(.+./" mp-log gpsvc.log*

Bezopasni dnevnički zapisi pogrešake "failed to unmarshal session" obično izgledaju kao sljedeći unos:

"message":"failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)"

Ako vrijednost unutar zagrada reference session(  ) ne izgleda kao GUID (u formatu koji je prikazan gore), već sadrži putanju datotečnog sustava, to ukazuje na potrebu daljnjeg istraživanja te da bi dnevnički zapis mogao biti povezan s uspješnim ili neuspješnim iskorištavanjem CVE-2024-3400.

Više informacija moguće je pročitati na poveznicama u nastavku:
[inicijalna objava: 16.4.2024 - 13:47]
[ažurirana objava: 17.4.2024 - 21:15]