Kriittinen haavoittuvuus Palo Alton GlobalProtect -tuotteessa
Haavoittuvuus12/2024CVSS 10 CVE-2024-3400 (Ulkoinen linkki)
Palo Alton PAN-OS-järjestelmän GlobalProtect-ominaisuuden haavoittuvuus mahdollistaa järjestelmän täyden haltuunoton etänä ilman tunnistautumista. Valmistaja on julkaissut ensimmäiset korjaavat päivitykset 14.4. Haavoittuvuutta hyväksikäytetään aktiivisesti ja haavoittuvuuden korjaavat päivitykset on syytä suorittaa välittömästi.
⚠️ Päivitys 17.4.2024: Aiemman tiedon mukaan laitetelemetrian poistaminen käytöstä olisi riittävä rajoittamistoimenpide, mutta tämä ei enää pidä paikkaansa. Haavoittuvuuden hyväksikäyttöä helpottava esimerkkikoodi on julkaistu ja haavoittuvuutta hyväksikäytetään aktiivisesti.
Aiemman tiedon mukaan haavoittuvuus koski vain GlobalProtect Gateway -tuotetta, uuden tiedon mukaan haavoittuvia ovat sekä GlobalProtect Gateway että GlobalProtect Portal.
Päivitys 19.4.2024: Kyberturvallisuuskeskus julkaisi 18.4. haavoittuvuudesta varoituksen (1/2024) (Ulkoinen linkki).
Haavoittuvuuden kohde
Palo Alto Networksin GlobalProtect on Suomessakin suosittu tuote, joka mahdollistaa organisaatioille esimerkiksi turvallisten etäyhteyksien käytön. Haavoittuvuus koskee organisaatioita, joilla kyseinen tuote on käytössä haavoittuvalla versiolla.
Haavoittuvia ovat Palo Alton laitteet, joissa
- järjestelmänä on PAN-OS 10.2, PAN-OS 11.0, tai PAN-OS 11.1, ja
- GlobalProtect -tuote on käytössä.
Cloud NGFW, Panorama appliances, ja Prisma Access tai muut PAN-OSin versiot (PAN-OS 10.1 tai vanhemmat) eivät ole haavoittuvia.
Mistä on kysymys?
Komentoinjektiohaavoittuvuus mahdollistaa tunnistautumattomalle hyökkääjälle etänä pääkäyttäjätason pääsyn laitteeseen ja mielivaltaisen koodin suorittamisen. Palo Alton mukaan haavoittuvuutta on käytetty hyväksi (Ulkoinen linkki) ja Yhdysvaltain kyberturvallisuusvirasto CISA on lisännyt haavoittuvuuden tunnettujen hyväksikäytettyjen haavoittuvuuksien listaansa (Ulkoinen linkki) (KEV).
Mitä voin tehdä?
Organisaatioita suositellaan asentamaan korjaavat päivitykset välittömästi.
Alkuperäisen tiedon mukaan laitetelemetrian poistaminen käytöstä olisi ollut riittävä toimenpide haavoittuvuuden rajoittamiseksi, mutta uuden esimerkkihyväksikäyttökoodin (PoC) julkaisun myötä ei ole riittävä toimenpide. Rajoittamistoimenpiteenä toimii edelleen Threat Prevention -lisäominaisuuden käyttäminen, johon tarkemmat ohjeet valmistajan tiedotteessa.
Asiakkaat voivat avata tapauksen Palo Alton asiakastukiportaalissa (customer support portal, CSP) ja ladata portaaliin teknisen tuen tiedoston (technical support file, TSF) tarkastaakseen, löytyykö laitteen lokeista merkkejä haavoittuvuuden hyväksikäytöstä (IoC).
Ilmoittakaa Kyberturvallisuuskeskukselle, mikäli havaitsette laitteissanne haavoittuvuuden hyväksikäyttöä.
Palo Alto on julkaissut ensimmäiset korjaavat päivitykset sunnuntaina 14.4.2024. Korjaavien päivitysten tilanne 17.4.2024:
- Valmistaja on korjannut haavoittuvuuden hotfix-versioissa PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 sekä kaikissa myöhemissä versioissa.
- Valmistaja on julkaissut korjauksia myös vanhempiin ylläpitoversioihin.
Tarkemmat ohjeet ja tiedot valmistajan tiedotteessa (Ulkoinen linkki).
Lisätietoja
- CVE-2024-3400 PAN-OS: OS Command Injection Vulnerability in GlobalProtect [Palo Alto Networks] (valmistajan tiedote) (Ulkoinen linkki)
- More on the PAN-OS CVE-2024-3400 [Palo Alto Networks] (valmistajan tekninen analyysi haavoittuvuudesta) (Ulkoinen linkki)
- How to Remedy CVE-2024-3400 [Palo Alto Networks] (valmistajan ohje korjaustoimenpiteistä) (Ulkoinen linkki)
- Zero-Day Exploitation of Unauthenticated Remote Code Execution Vulnerability in GlobalProtect (CVE-2024-3400) [Volexity] (Ulkoinen linkki)
- Exploit released for Palo Alto PAN-OS bug used in attacks, patch now [Bleeping Computer] (Ulkoinen linkki)
- CVE-2024-3400 [AttackerKB] (Ulkoinen linkki)
- Palo Alto - Putting The Protecc In GlobalProtect (CVE-2024-3400) [watchTowr Labs] (Ulkoinen linkki)
- A Look at CVE-2024-3400 Activity and Upstyle Backdoor Technical Analysis [Zscaler Blog] (Ulkoinen linkki)
Tarkennettu haavoittuvuustiedotetta valmistajan julkaistua ensimmäiset korjaavat päivitykset, pieniä tarkennuksia.
Päivitetty tieto siitä, että telemetrian ottaminen pois päältä ei ole riittävä mitigaatiotoimenpide. Poistettu tähän liittyvät kuvat.
Lisätty tieto varoituksesta, päivitetty linkit.
Lisätty linkit valmistajan lisätietoihin.