Zusammenfassung
Die Schwachstelle CVE-2024-3400 ist eine kritische Remote-Code-Execution-Sicherheitslücke in der GlobalProtect-Funktion der Palo Alto Networks PAN-OS Software. Diese ermöglicht es nicht authentifizierten Angreifern, mit Root-Rechten beliebigen Code auf betroffenen Firewalls auszuführen.
Diese Schwachstelle betrifft spezifische Versionen von PAN-OS und ist durch einen CVSS 3-Score von 10.0 als besonders kritisch eingestuft.
Timeline
Betroffenheit
Die Schwachstelle betrifft die PAN-OS-Versionen 10.2, 11.0 und 11.1, wenn das GlobalProtect Gateway oder GlobalProtect Portal konfiguriert ist.
Cloud NGFW, Panorama-Appliances und Prisma Access sind nicht betroffen.
Auswirkungen und Gegenmaßnahmen
Die Schwachstelle ermöglicht den unautorisierten Fernzugriff und die Ausführung von Code, was die Vertraulichkeit, Integrität und Verfügbarkeit von Netzwerksystemen erheblich beeinträchtigen kann. Als Gegenmaßnahme empfiehlt Palo Alto Networks dringend das Update auf die neuesten PAN-OS-Versionen, welche die Schwachstelle beheben. Zusätzlich sollten Kunden mit einer Threat Prevention-Abonnement die Threat IDs 95187, 95189 und 95191 anwenden, um Angriffe zu blockieren.
Sollten diese Maßnahmen noch nicht durchgeführt sein, besteht eine erhöhte Wahrscheinlichkeit, dass die Systeme kompromittiert wurden. Daher empfehlen wir in diesem Fall:
- Eine Untersuchung zu starten, ob das System kompromittiert wurde und falls ja, welche Aktionen vom Angreifer durchgeführt wurden.
- Zur Sicherheit unabhängig vom Ergebnis von 1. das System zurückzusetzen und neu zu installieren.
IOCs / Rules
Regeln:
Referenzen
- https://unit42.paloaltonetworks.com/cve-2024-3400/
- https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/
- https://github.com/volexity/threat-intel/tree/main/2024/2024-04-12%20Palo%20Alto%20Networks%20GlobalProtect/indicators
- https://nvd.nist.gov/vuln/detail/CVE-2024-3400