Update#3: Kritische Sicherheitslücke in Palo Alto PAN-OS (Global Protect) aktiv ausgenützt - Patches verfügbar

Update#1: 15. April 2024

Fixed Versions hinzugefügt

Update#2: 18. April 2024

Weitere fixed Versions hinzugefügt, Mitigation mittels Deaktivierung von Telemetry korrigiert, ThreatIDs, aktive Ausnützung

Update#3: 19. April 2024

Weitere fixed Versions hinzugefügt

Beschreibung

In Palo Altos PAN-OS GlobalProtect-Funktion wurde eine kritische Sicherheitslücke identifiziert, welche das Einschleusen von Kommandos erlaubt. Update #2: Die Schwachstelle wird in der Zwischenzeit aktiv ausgenützt. Zur Ausnutzung der Schwachstelle muss ein Gateway konfiguriert, und die sogenannte "Device Telemetry" aktiviert sein (zweiteres ist den betroffenen Versionen standardmäßig gegeben). Da noch keine Updates verfügbar sind, kann die Schwachstelle lediglich durch Konfigurationsänderungen mitigiert werden - beachten Sie den Abschnitt "Abhilfe".

CVE-Nummer: CVE-2024-3400

CVSS Base Score: 10.0

Auswirkungen

Unauthentifizierte Angreifer:innen können die Schwachstelle aus dem Netzwerk ausnutzen, und dadurch Kommandos mit erhöhten Rechten (root) ausführen.

Betroffene Systeme

Betroffen sind Systeme auf denen eine der folgenden PAN-OS-Versionen (oder niedriger) läuft, und "Device-Telemetry" aktiviert ist:

  • PAN-OS 11.1.2-h3
  • PAN-OS 11.0.4-h1
  • PAN-OS 10.2 < 10.2.9-h1

Update#1: Palo Alto hat  die ersten Patches bereitgestellt. In den nachstehenden Versionen wurde die Sicherheitslücke bereits behoben, Updates für andere betroffene Versionen sollen in den nächsten Tagen erscheinen.

  • PAN-OS 10.2.9-h1
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.1.2-h3

Update#2: Palo Alto hat weitere Patches bereitgestellt:

  • 10.2.6-h3
  • 10.2.5-h6
  • 11.0.4-h2
  • 11.0.3-h10
  • 11.0.2-h4
  • 11.1.1-h1
  • 11.1.0-h3

Update#3:

  • 10.2.4-h16
  • 10.2.3-h13
  • 10.2.2-h5
  • 10.2.1-h2
  • 10.2.0-h3
  • 11.0.4-h1
  • 11.0.4-h2
  • 11.0.3-h10
  • 11.0.2-h4
  • 11.0.1-h4
  • 11.0.0-h3
  • 11.1.2-h3
  • 11.1.1-h1
  • 11.1.0-h3

Abhilfe

Updates werden laut Hersteller ab 14. April zur Verfügung gestellt. Update#2: Deaktivieren der Device Telemetry ist keine ausreichende Mitigation. Kunden mit einer Threat Prevention subscription, können die betroffenen Geräte durch Hinzufügen der Threat IDs 95187, 95189 und 95191 absichern. In der Zwischenzeit wird empfohlen die "Device Telemetry" zu deaktivieren. Die Einstellung hierzu finden Sie im Menü-Punkt Device > Setup > Telemetry.

Informationsquelle(n):

CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway
https://security.paloaltonetworks.com/CVE-2024-3400

Palo Alto TECHDOCS: Enable Device Telemetry
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-enable