Update#1: Kritische Sicherheitslücke in Palo Alto PAN-OS (Global Protect)

Update: 15. April 2024

Fixed Versions hinzugefügt

Beschreibung

In Palo Altos PAN-OS GlobalProtect-Funktion wurde eine kritische Sicherheitslücke identifiziert, welche das Einschleusen von Kommandos erlaubt. Zur Ausnutzung der Schwachstelle muss ein Gateway konfiguriert, und die sogenannte "Device Telemetry" aktiviert sein (zweiteres ist den betroffenen Versionen standardmäßig gegeben). Da noch keine Updates verfügbar sind, kann die Schwachstelle lediglich durch Konfigurationsänderungen mitigiert werden - beachten Sie den Abschnitt "Abhilfe".

CVE-Nummer: CVE-2024-3400

CVSS Base Score: 10.0

Auswirkungen

Unauthentifizierte Angreifer:innen können die Schwachstelle aus dem Netzwerk ausnutzen, und dadurch Kommandos mit erhöhten Rechten (root) ausführen.

Betroffene Systeme

Betroffen sind Systeme auf denen eine der folgenden PAN-OS-Versionen (oder niedriger) läuft, und "Device-Telemetry" aktiviert ist:

  • PAN-OS 11.1.2-h3
  • PAN-OS 11.0.4-h1
  • PAN-OS 10.2 < 10.2.9-h1

Update: Palo Alto hat  die ersten Patches bereitgestellt. In den nachstehenden Versionen wurde die Sicherheitslücke bereits behoben, Updates für andere betroffene Versionen sollen in den nächsten Tagen erscheinen.

  • PAN-OS 10.2.9-h1
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.1.2-h3

Abhilfe

Updates werden laut Hersteller ab 14. April zur Verfügung gestellt. In der Zwischenzeit wird empfohlen die "Device Telemetry" zu deaktivieren. Die Einstellung hierzu finden Sie im Menü-Punkt Device > Setup > Telemetry. 


Informationsquelle(n):

CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway
https://security.paloaltonetworks.com/CVE-2024-3400

Palo Alto TECHDOCS: Enable Device Telemetry
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-enable