CVE-2017-15944

Palo Alto Networks PAN-OS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-08-18

Официальное описание

Palo Alto Networks PAN-OS contains multiple, unspecified vulnerabilities which can allow for remote code execution when chained.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2017-15944 представляет собой критическую цепочку уязвимостей в веб-интерфейсе управления PAN-OS. Она позволяет неавторизованному удаленному злоумышленнику выполнить произвольный код с правами root.

Цепочка включает три этапа: 1. Partial Path Traversal: Позволяет злоумышленнику создавать файлы в произвольных директориях. 2. Arbitrary File Creation: Использование первой уязвимости для создания конфигурационных файлов. 3. Command Injection: Внедрение команд через созданные файлы, которые впоследствии исполняются системными скриптами (например, через cron или обработчики логов).

Уязвимость затрагивает интерфейс управления (Management Interface) и не влияет на транзитный трафик данных.

Как исправить

Единственным надежным способом устранения является обновление PAN-OS до версий, в которых данные ошибки были исправлены.

  1. Проверьте текущую версию системы.
  2. Выполните обновление до одной из следующих версий (или более новых):
  3. PAN-OS 6.1.19
  4. PAN-OS 7.0.19
  5. PAN-OS 7.1.14
  6. PAN-OS 8.0.6

Команды для обновления через CLI:

request system software check


request system software download version <version_number>


request system software install version <version_number>


request restart system

Временные меры

Если немедленное обновление невозможно, необходимо минимизировать поверхность атаки, изолировав интерфейс управления.

  1. Ограничение доступа по IP: Настройте Access Management List (ACL), чтобы разрешить доступ к HTTPS-интерфейсу управления только с доверенных IP-адресов администраторов.

  2. Изоляция сети: Убедитесь, что интерфейс управления (MGT port) находится в выделенном сегменте сети (VLAN), защищенном внешним межсетевым экраном, и не имеет прямого доступа из интернета.

  3. Использование сигнатур IPS: Если перед устройством Palo Alto стоит другая система обнаружения вторжений, активируйте сигнатуры, блокирующие попытки эксплуатации данной уязвимости (например, Threat ID 32439, 32440, 32441 в базе Palo Alto).

  4. Отключение веб-интерфейса на внешних интерфейсах: Убедитесь, что сервис HTTP/HTTPS управления отключен на всех интерфейсах, смотрящих в публичные сети (Untrust).

set deviceconfig system service disable-http yes


set deviceconfig system service disable-https no
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей