Palo Alto Networks warnt seit heute (12.04.2024) davor, dass eine kritische Schwachstelle, die in deren PAN-OS-Software und in den GlobalProtect-Gateways verwendet wird, aktiv ausgenutzt wird. CVE-2024-3400, mit einem CVSS-Rating von 10.0, kann zu einer Kompromittierung der gesamten Infrastruktur führen und muss umgehend behoben werden. Unterhalb finden Sie genauere Infos zur Behebung und der Auswirkung.
Details
Eine Schwachstelle für Command Injection in der GlobalProtect-Funktion der Palo Alto Networks PAN-OS-Software für bestimmte PAN-OS-Versionen und spezifische Funktionskonfigurationen kann es einem nicht authentifizierten Angreifer ermöglichen, beliebigen Code mit Root-Berechtigungen auf der Firewall auszuführen, sagte das Unternehmen in einem heute veröffentlichten Hinweis.
Die Schwachstelle betrifft die folgenden Versionen. Für diese werden am 14.04 Fixes erscheinen:
- PAN-OS < 11.1.2-h3
- PAN-OS < 11.0.4-h1
- PAN-OS < 10.2.9-h1
Das Unternehmen sagte auch, dass das Problem nur für Firewalls gilt, bei denen die Konfigurationen sowohl für das GlobalProtect-Gateway (Netzwerk > GlobalProtect > Gateways) als auch für die Gerätetelemetrie (Gerät > Einrichtung > Telemetrie) aktiviert sind.
Obwohl es keine anderen technischen Details über die Art der Angriffe gibt, räumte Palo Alto Networks ein, dass es „von einer begrenzten Anzahl von Angriffen Kenntnis hat, die die Ausnutzung dieser Schwachstelle verwenden“.
Update 15.04.2024:
Laut Palo Alto wurde die Schwachstelle nun in den folgenden 3 Hotixes behoben:
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1
- PAN-OS 11.1.2-h3
Es empfiehlt sich diese schnellstmöglich einzuspielen um einen Angriff proaktiv zu verhindern.
Maßnahmen gegen CVE-2024-3400
Es empfiehlt sich allen Kund:innen mit einem Threat-Prevention-Abonnement, die Threat-ID 95187 zu aktivieren. Dadurch kann man sich vor dieser Bedrohung schützen. Des weiteren wäre empfehlenswert für eine kurze Zeit die Gerätetelemetrie in den Gateways zu deaktivieren.
Zettasecure unterstützt Ihre Kund:innen dabei diese Schwachstelle (CVE-2024-3400) und andere schnellstmöglich zu beheben. All diese Funktionen sind in unserem externen SOC Service inkludiert und liefern ebenfalls zeitnahe Warnungen wie diese.
