CVE-2024-3400

Palo Alto Networks PAN-OS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-04-12

Официальное описание

Palo Alto Networks PAN-OS GlobalProtect feature contains a command injection vulnerability that allows an unauthenticated attacker to execute commands with root privileges on the firewall.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-3400 — это критическая уязвимость типа Command Injection (инъекция команд) в шлюзе GlobalProtect операционной системы PAN-OS. Проблема вызвана недостаточной фильтрацией входных данных при обработке сессионных параметров. Неавторизованный злоумышленник может отправить специально сформированный запрос, что позволит ему выполнить произвольный код с правами суперпользователя (root) на межсетевом экране. Уязвимость имеет максимальную оценку по шкале CVSS — 10.0.

Как исправить

Основным способом устранения является обновление PAN-OS до исправленной версии. Необходимо идентифицировать текущую версию ОС и применить соответствующий патч.

  1. Проверьте текущую версию PAN-OS в веб-интерфейсе (Dashboard) или через CLI:
show system info | match sw-version
  1. Установите исправление в зависимости от вашей ветки ПО:
  2. PAN-OS 10.2: обновитесь до 10.2.9-h1 и выше.
  3. PAN-OS 11.0: обновитесь до 11.0.4-h1 и выше.

  4. PAN-OS 11.1: обновитесь до 11.1.2-h3 и выше.

  5. Для загрузки и установки через CLI:

request system software check


request system software download version <version_number>


request system software install version <version_number>


request restart system

Временные меры

Если немедленное обновление невозможно, примените следующие защитные меры:

  1. Активация защиты через Threat Prevention (для пользователей с подпиской): Убедитесь, что на устройстве установлена база данных Threat Content версии 8833-8682 или выше. Примените действие "Reset-both" для Threat ID 94959 в профиле Vulnerability Protection, привязанном к интерфейсу GlobalProtect.

  2. Отключение функции телеметрии (Device Telemetry): Уязвимость эксплуатируется только при включенной передаче телеметрии. Отключение этой функции блокирует вектор атаки до момента установки патча.

set deviceconfig setting telemetry transmission-enabled no


commit
  1. Проверка системы на признаки компрометации (IoC): Проверьте наличие подозрительных файлов в директории /var/log/pan/ через сессию технической поддержки или системные логи.
grep -E 'failed to unmarshal session' /var/log/pan/gpsvc.log
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей