CVE-2024-9474

Palo Alto Networks PAN-OS

ВЫСОКАЯ ВЕРОЯТНОСТЬ
Дата обнаружения

2024-11-18

Официальное описание

Palo Alto Networks PAN-OS contains an OS command injection vulnerability that allows for privilege escalation through the web-based management interface for several PAN products, including firewalls and VPN concentrators.

🛡️
Технический анализ и план устранения

Суть уязвимости

CVE-2024-9474 представляет собой критическую уязвимость типа OS Command Injection (инъекция команд операционной системы) в веб-интерфейсе управления PAN-OS. Проблема вызвана недостаточной очисткой входных данных, что позволяет аутентифицированному администратору с низким уровнем привилегий выполнять произвольные команды в ОС с правами root. В определенных конфигурациях это может привести к полной компрометации устройства и дальнейшему продвижению злоумышленника внутри сети.

Как исправить

Основным способом устранения уязвимости является обновление операционной системы PAN-OS до исправленной версии. Palo Alto Networks выпустила соответствующие патчи для всех поддерживаемых веток.

  1. Проверьте текущую версию PAN-OS в веб-интерфейсе (Dashboard) или через CLI:
show system info | match sw-version
  1. Обновите систему до одной из следующих (или более новых) версий:
  2. PAN-OS 10.1.14-h6
  3. PAN-OS 11.0.4-h4
  4. PAN-OS 11.1.2-h11
  5. PAN-OS 11.1.4-h1

  6. PAN-OS 11.2.4-h1

  7. Для загрузки и установки обновления через CLI используйте команды:

request system software check


request system software download version <version_number>


request system software install version <version_number>


request restart system

Временные меры

Если немедленное обновление невозможно, необходимо применить следующие меры для снижения риска эксплуатации:

  1. Ограничьте доступ к веб-интерфейсу управления (Management Interface). Доступ должен быть разрешен только из доверенных сегментов сети (Management Network) или через выделенный VPN.
  2. Настройте профиль разрешенных IP-адресов (Permitted IP Addresses) для интерфейса управления:
set deviceconfig system permitted-ip <IP/Mask>
  1. Используйте выделенный физический порт управления (MGT), изолированный от интернет-трафика.
  2. Проверьте логи аудита на предмет подозрительной активности, связанной с созданием новых администраторов или необычными командами CLI:
show log config direction equal backward
  1. Убедитесь, что на устройствах установлены актуальные сигнатуры Content Release (например, App-ID и Threat Prevention), так как Palo Alto Networks выпускает специфические сигнатуры для обнаружения попыток эксплуатации известных CVE.
Рекомендации сформированы автоматически на основе баз знаний (CISA/NVD/ФСТЭК) и технической документации вендора. Всегда тестируйте патчи в песочнице перед продакшном.
← Вернуться к списку уязвимостей