CVE-2024-0012

Palo Alto Networks PAN-OS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-11-18

Официальное описание

Palo Alto Networks PAN-OS contains an authentication bypass vulnerability in the web-based management interface for several PAN-OS products, including firewalls and VPN concentrators.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-0012 представляет собой критическую уязвимость обхода аутентификации (Authentication Bypass) в веб-интерфейсе управления PAN-OS. Злоумышленник, имеющий сетевой доступ к интерфейсу управления, может получить привилегии администратора без знания учетных данных. Это позволяет полностью скомпрометировать устройство, изменить конфигурацию или использовать его для дальнейшего продвижения внутри сети. Уязвимость актуальна для межсетевых экранов нового поколения (NGFW), облачных систем Prisma Access и концентраторов VPN.

Как исправить

Основным способом устранения является обновление операционной системы PAN-OS до исправленной версии. Palo Alto Networks выпустила патчи для всех затронутых веток.

  1. Определите текущую версию PAN-OS.
  2. Загрузите и установите соответствующее обновление:
  3. PAN-OS 10.2: обновитесь до 10.2.12-h2 или выше.
  4. PAN-OS 11.0: обновитесь до 11.0.6-h1 или выше.
  5. PAN-OS 11.1: обновитесь до 11.1.5-h1 или выше.
  6. PAN-OS 11.2: обновитесь до 11.2.4-h1 или выше.

Команда для проверки версии через CLI:

show system info | match sw-version

Команды для загрузки и установки образа (пример для 11.1.5-h1):

request system software download version 11.1.5-h1


request system software install version 11.1.5-h1


request restart system

Временные меры

Если немедленное обновление невозможно, необходимо максимально ограничить доступ к интерфейсу управления.

  1. Изолируйте интерфейс управления (Management Interface), убедившись, что он доступен только из доверенных сегментов сети (Internal Management Network).
  2. Настройте Access Management Profiles, чтобы разрешить доступ к веб-интерфейсу только с конкретных доверенных IP-адресов администраторов.
  3. Если интерфейс управления ошибочно опубликован в интернет — немедленно заблокируйте внешний доступ на периметре.
  4. Для пользователей Prisma Access: убедитесь, что доступ к интерфейсу управления ограничен через политики безопасности и не разрешен для неавторизованных зон.

Команда для проверки настроек разрешенных IP-адресов на интерфейсе управления:

show deviceconfig system setting management-acl
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей