Deze liveblog bevat informatie over de PAN-OS GlobalProtect Gateway kwetsbaarheid. Zodra we een update hebben voegen we die aan deze blog toe. Meer informatie over mogelijke risico’s en details worden onderaan deze blog geplaatst.
Laatste update op 18 april 2024.
Update 18 april 2024
18:00 | Palo Alto heeft inmiddels updates beschikbaar gesteld om de kwetsbaarheid te verhelpen. Onderzoekers hebben tevens proof-of-concept (PoC) code gepubliceerd waarmee de kwetsbaarheid met kenmerk CVE-2024-3400 kan worden aangetoond. Daarnaast heeft Palo Alto op de website aangegeven dat de proof-of-concept door derden openbaar is gemaakt.
Palo Alto heeft op de website aangegeven dat het eerder gegeven advies om de dreiging te mitigeren door tijdelijk Device Telemetry uit te schakelen niet langer een effectieve oplossing is. Device Telemetry hoeft niet te zijn ingeschakeld, om deze kwetsbaarheid in PAN-OS te kunnen misbruiken. Tevens zijn er command-line interface (CLI) commando’s gedeeld op de website waarmee gebruikers kunnen zoeken naar mogelijke pogingen tot exploitatieactiviteit in hun systemen.
Update 12 april 2024
13:30 | Op 12 april 2024, heeft Palo Alto een Advisory gepubliceerd waarin CVE-2024-3400 wordt beschreven.
Palo Alto is op de hoogte van aanvallen in het wild waarbij deze kwetsbaarheid wordt uitgebuit, maar er is geen publieke exploit-code beschikbaar. De kwetsbaarheid wordt verholpen in een aankomende hotfix die staat gepland voor 14 april. Tevens biedt Palo Alto voor deze kwetsbaarheid een mitigatie.
De PAN-OS GlobalProtect Gateway-interface is doorgaans publiek op het internet ontsloten. Daarnaast is een Palo Alto firewall vaak een kritiek onderdeel van de IT-infrastructuur. Dit maakt de kwetsbaarheid zeer kritiek en maakt dat deze zo snel mogelijk verholpen moet worden!
Achtergond
Op 12 april 2024, heeft Palo Alto een Advisory gepubliceerd waarin CVE-2024-3400 wordt beschreven. Via deze kwetsbaarheid kan een niet-geauthentiseerde aanvaller willekeurige code uitvoeren via de PAN-OS GlobalProtect Gateway-interface met root rechten op de firewall. Palo Alto is op de hoogte van aanvallen in het wild waarbij deze kwetsbaarheid wordt uitgebuit, maar er is geen publieke exploit-code beschikbaar. De kwetsbaarheid wordt verholpen in een aankomende hotfix die staat gepland voor 14 april. Tevens biedt Palo Alto voor deze kwetsbaarheid een mitigatie.
Risico
CVE-2024-3400 geeft een niet-geauthentiseerde aanvaller de mogelijkheid om op afstand willekeurige code uit te voeren. De kwetsbaarheid heeft een CVSSv4-score van 10. De CVSS-schaal loopt van 0 tot 10. Een score van 9,8 of hoger is zeldzaam en impliceert een hoog risico op uitbuiting met grote impact.
Palo Alto geeft aan op de hoogte te zijn van een incident waarbij de kwetsbaarheid is misbruikt. Code of instructies voor het uitbuiten van de kwetsbaarheid is nog niet publiek beschikbaar.
Advies
Kwetsbaarheid CVE-2024-3400 in de PAN-OS GlobalProtect Gateway-interface is aanwezig in de volgende versies en kan worden opgelost door te upgraden naar de aangegeven versies:
| Versies | Getroffen versies | Ongetroffen versies |
| Cloud NGFW | Geen | Alle |
| PAN-OS 11.1 | < 11.1.2-h3 | >= 11.1.2-h3 (ETA: 14th of April) |
| PAN-OS 11.0 | < 11.0.4-h1 | >= 11.0.4-h1 (ETA: 14th of April) |
| PAN-OS 10.2 | < 10.2.9-h1 | >= 10.2.9-h1 (ETA: 14th of April) |
| PAN-OS 10.1 | Geen | Alle |
| PAN-OS 10.0 | Geen | Alle |
| PAN-OS 9.1 | Geen | Alle |
| PAN-OS 9.0 | Geen | Alle |
| Prisma Access | Geen | Alle |
De getroffen versies zijn ook kwetsbaar als deze zijn geconfigureerd voor zowel de GlobalProtect Gateway en device telemetrie is ingeschakeld. Palo Alto heeft een publicatie uitgebracht voor deze kwetsbaarheid waarin staat beschreven hoe je dit kan nakijken.
Wanneer een Threat Prevention abonnement beschikbaar is, kan de kwetsbaarheid gemitigeerd worden door Threat ID 95187 in te schakelen en te zorgen dat vulnerability protection wordt toegepast op de GlobalProtect interface.
Mocht de Threat Prevention gebaseerde mitigatie niet uitgevoerd kunnen worden, dan is het mogelijk om device telemetrie tijdelijk uit te schakelen totdat PAN-OS is geüpgraded naar een versie waarin deze kwetsbaarheid is opgelost.
Bronnen
Meer informatie:
Aanmelden
Wilt u tijdig geïnformeerd worden? Schrijf u dan in voor onze technische updates
Wilt u de kritieke kwetsbaarheden voortaan ook per e-mail ontvangen? Abonneer u dan op de nieuwbrief.
Tesorion gebruikt uw gegevens voor het versturen van de gevraagde informatie en mogelijk telefonisch contact. U kunt zich op elk gewenst moment afmelden. Lees voor meer informatie ons privacybeleid.
