CVE-2019-1579

Palo Alto Networks PAN-OS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2022-01-10

Официальное описание

Remote Code Execution in PAN-OS with GlobalProtect Portal or GlobalProtect Gateway Interface enabled.

🛡️
Технический анализ и план устранения

Суть уязвимости

Уязвимость в подсистеме GlobalProtect в PAN-OS позволяет удаленному атакующему, не прошедшему аутентификацию, выполнить произвольный код с привилегиями root на устройстве. * Вектор атаки: Специально сформированный HTTP-запрос к интерфейсу портала GlobalProtect или шлюза GlobalProtect. * Условие: Уязвимость активна, если интерфейс портала GlobalProtect или шлюза GlobalProtect сконфигурирован и включен.

Как исправить

Установите исправленную версию PAN-OS. Обновление является единственным полным решением.

Критические версии с исправлением: * PAN-OS 7.1. >= 7.1.24 * PAN-OS 8.0. >= 8.0.19 * PAN-OS 8.1. >= 8.1.9 * PAN-OS 9.0. >= 9.0.3

Процедура обновления: 1. Скачайте корректный файл обновления (.tgz) из портала поддержки Palo Alto Networks. 2. Загрузите его на брандмауэр через веб-интерфейс (Device > Software) или CLI. 3. Установите обновление и перезагрузите устройство.

Пример через CLI (если загрузка уже выполнена):

> request system software install version <X.X.X> reboot yes

Замените <X.X.X> на полный номер целевой версии (например, 9.0.3).

Временное решение

Если немедленное обновление невозможно, примените следующие меры для снижения риска:

  1. Отключите уязвимые интерфейсы (наиболее эффективно). Если функциональность GlobalProtect не требуется:

    • Веб-интерфейс: Перейдите в Network > GlobalProtect > Portals. Для каждого портала в разделе Agent > Client Settings снимите галочку Enable.
    • Веб-интерфейс: Перейдите в Network > GlobalProtect > Gateways. Для каждого шлюза на вкладке Client IP Pool снимите галочку Enable Gateway.

  2. Ограничьте доступ. Настройте правила безопасности (Security Policy), разрешающие доступ к интерфейсам GlobalProtect только с доверенных IP-адресов (например, из внутренней сети или пула VPN-адресов). Не оставляйте доступ открытым из интернета (0.0.0.0/0).

  3. Используйте Threat Prevention (если доступно). Убедитесь, что профиль Threat Prevention с включенной защитой от критических уязвимостей (Critical-vulnerability Protection) прикреплен к соответствующим правилам безопасности.

Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей