最后更新于2024年4月29日星期一22:07:49 GMT

4月12日,周五,帕洛阿尔托网络 发表咨询意见 cve - 2024 - 3400, 在PAN-OS的几个版本中的CVSS 10零日漏洞, 在公司防火墙上运行的操作系统. 根据供应商的建议, 如果满足可利用性的条件, 该漏洞可能使未经身份验证的攻击者能够在防火墙上以根权限执行任意代码. 截至2024年4月14日(星期日),部分版本已提供补丁.

注意: 最初, 帕洛阿尔托网络公司的报告指出,只有使用PAN-OS 10的用户才容易受到攻击.2、pan-os.0和/或PAN-OS 11.1个防火墙,配置为GlobalProtect网关(或GlobalProtect门户) 启用设备遥测. 截至4月16日星期二,该公告已更新为“设备遥测” 需要启用PAN-OS防火墙才能暴露于与此漏洞相关的攻击中."

帕洛阿尔托网络公司 咨询 表明CVE-2024-3400已经在“有限数量的攻击”中被利用.该公司将这一漏洞的紧急程度定为最高. 帕洛阿尔托网络公司 发布深度博客 关于攻击的范围,妥协的指标,以及对手的行为观察. 我们强烈建议大家回顾一下. 安全公司Volexity也发现了这个零日漏洞 这里有一个博客 通过广泛的分析、妥协指标和观察到的攻击者行为.

缓解指导

CVE-2024-3400在披露时未打补丁,但补丁可用于 某些版本的PAN-OS 从4月14日星期日开始. 启用GlobalProtect(网关或门户)时,CVE-2024-3400会影响以下版本的PAN-OS:

  • PAN-OS 11.1(11前).1.2-h3)
  • PAN-OS 11.0(11前).0.4-h1)
  • PAN-OS 10.2(10前).2.7- 8小时,10点之前.2.8-h3, 10点之前.2.9-h1)
  • 已添加其他版本 咨询 自首次发表以来

截至4月16日,供应商已经更新了他们的建议,以注意设备遥测 需要启用PAN-OS防火墙才能暴露于与此漏洞相关的攻击中. 帕洛阿尔托网络公司 Cloud NGFW 和 Prisma Access solutions are not affected; nor are earlier versions of PAN-OS (10.1, 10.0, 9.1和9.0).

重要的是: 帕洛阿尔托网络公司一直在不断更新他们的建议, 哪一个现在有一个受影响版本的广泛列表,以及预计何时修复. 如需更多资料及最新的补救指引,请 参考供应商的建议 作为真理的源泉.

CVE-2024-3400的补丁于4月14日周日发布. Rapid7建议立即应用供应商提供的补丁, 无需等待典型的补丁周期发生. 如果无法打补丁,请应用以下供应商提供的缓解措施之一:

  • 已订阅威胁防护的客户可以通过启用威胁ID 95187(在应用程序和威胁内容版本8833-8682中引入)来阻止针对此漏洞的攻击。. 除了启用威胁ID 95187之外, 客户应确保在其GlobalProtect接口上应用了漏洞保护,以防止在其设备上利用此问题. 更多信息请点击这里.
  • 注意: 虽然禁用设备遥测技术最初被认为是一个临时的解决方案, 帕洛阿尔托网络公司表示,截至4月16日,禁用设备遥测不再是有效的缓解措施.

帕洛阿尔托网络公司 知识库文章在这里 以及他们推荐的修复步骤 利用 设备. 我们还建议审查妥协的指标 帕洛阿尔托网络的博客Volexity的博客.

Rapid7客户

从周五开始,InsightVM和expose客户可以使用经过验证的漏洞检查, 4月12日内容发布. 因为供应商在最初发布的建议中添加了更多易受攻击的版本, 我们的工程团队已经更新了我们的漏洞检查 4月17日星期三 内容发布,以便能够检测PAN-OS的其他易受攻击版本.

根据 供应商咨询, 运行易受攻击的防火墙并担心其环境中可能被利用的组织可以与Palo Alto Networks打开支持案例,以确定其设备日志是否与此漏洞的已知妥协指标(ioc)相匹配.

通过Rapid7扩展的检测规则库,insighttidr和管理检测和响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表,并会对与此零日漏洞相关的利用后行为发出警报:

  • 攻击者技术- NTDS文件访问
  • 攻击者技术:在非标准位置重命名AnyDesk二进制文件
  • 攻击者技术:在非标准位置重命名EWSProxy
  • 攻击者技术:在非标准位置重命名AvastBrowserUpdate
  • 攻击者工具-未知的原始文件复制工具,用于凭证转储
  • 凭据访问-使用Esenutil复制凭据文件
  • 可疑进程:在英特尔根目录中的单个字符可执行文件
  • 可疑进程- Avast可执行文件不在程序文件目录

更新

2024年4月12日星期五: 更新 链接到Volexity 关于野外剥削的博客和妥协的指示 帕洛阿尔托网络博客 关于这一事件. 更新说明虚拟机内容的可用性.

2024年4月15日星期一: 更新到注意补丁已于4月14日星期日可用. 更新注意到GlobalProtect门户也是一个易受攻击的配置(除了GlobalProtect网关).

2024年4月16日星期二: 增加了更多易受攻击的PAN-OS 10版本.2.X版本流 更新的供应商建议. 截至4月16日,部分版本可获得补丁,但不是所有版本. 通告上有飞行修复的预计到达时间. Rapid7漏洞检查将于4月17日更新,以检测新列出的PAN-OS漏洞版本.

2024年4月16日星期二: Updated to note that disabling device telemetry is no longer considered an effective mitigation; 帕洛阿尔托网络公司 now indicated that "device telemetry 不 需要启用PAN-OS防火墙才能暴露于与此漏洞相关的攻击中."

2024年4月17日星期三: 对于InsightVM和expose客户, 漏洞检查已更新,以检测PAN-OS的其他易受攻击版本. 看到 供应商咨询 查阅最新资料.

2024年4月22日星期一: 增加了insighttidr和Rapid7 耐多药客户的(非详尽的)检测规则警报列表.

2024年4月29日星期一: 新增链接至 帕洛阿尔托网络知识库文章 在供应商定义的不同危害级别上修复被利用设备的建议.