Zum Inhalt springen
Bringen Sie Ihre Internet-Intelligenz zum Blühen | Sichern Sie sich 20 % Rabatt auf Censys Search Teams oder Solo-Jahrespläne mit dem Code Spring24 bis 31.5.2009 | Jetzt sparen
Beratung

12. April 2024: Palo Alto Networks GlobalProtect PAN-OS Befehlsinjektionsschwachstelle CVE-2024-3400

Teilen Sie

12. April 2024
Tags:

Aktualisierung am 15. April 2024:

Palo Alto Networks hat mit der Bereitstellung von Hotfixes begonnen, um diese Schwachstelle zu beheben. Die bisher verfügbaren Hotfixes sind für die PAN-OS-Versionen 10.2.9-h1, 11.0.4-h1 und 11.1.2-h3 verfügbar, wobei weitere Versionen für neuere PAN-OS-Versionen geplant sind.

Darüber hinaus haben Forscher eine erfolgreiche Ausnutzung dieser Schwachstelle entdeckt, die bis zum 26. März 2024 zurückreicht, um diese Backdoor einzusetzen.

Globale Auswirkungen (Stand: 15. April 2024)

*Hinweis* - die folgende Anzahl von Assets basiert auf der Identifizierung von Palo Alto Networks GlobalProtect-Produkten im Allgemeinen und berücksichtigt nicht die spezifischen Versionsnummern, die in der Schwachstelle angegeben sind. Zur Identifizierungsmethodik siehe unten.
- Mehr als 143.000 GlobalProtect-Geräte mit öffentlichem Zugang weltweit

Die am stärksten betroffenen Länder:
1. USA
2. Deutschland
3. Indien
4. VEREINIGTES KÖNIGREICH
5. Australien

Zusammenfassung

Censys ist bekannt, dass Palo Alto Networks (PAN) am 12. April 2024 die Sicherheitslücke CVE-2024-3400 bezüglich einer Befehlsinjektionsschwachstelle in der GlobalProtect-Funktion ihrer PAN-OS-Software veröffentlicht hat. PAN gab an, dass ihnen "eine begrenzte Anzahl von Angriffen bekannt ist, bei denen diese Schwachstelle ausgenutzt wird", und die CISA hat diese Schwachstelle in ihre KEV-Datenbank (Known Exploited Vulnerability, bekannte ausgenutzte Schwachstellen) aufgenommen.
Asset-Beschreibung
GlobalProtect ist ein Fernzugriffstool, das vom Hersteller als VPN und Firewall beschrieben wird.
PAN-OS ist die Bezeichnung des Betriebssystems von Palo Alto Network, das in seinen Produkten eingesetzt wird.

Aufprall

Mögliche Folgen einer erfolgreichen Ausnutzung
Laut PAN kann die Schwachstelle "einem nicht authentifizierten Angreifer die Ausführung von beliebigem Code mit Root-Rechten auf der Firewall ermöglichen". Dieser Grad der Kompromittierung würde es einem Angreifer im Wesentlichen ermöglichen, die Anlagen eines Opfers vollständig zu übernehmen. Dies könnte sich als besonders verheerend für eine Organisation erweisen, da GlobalProtect als sicheres Fernzugriffstool eingesetzt wird, was bedeutet, dass ein erfolgreicher Angreifer in der Lage sein könnte, den Zugang zu validierten Benutzern zu sperren und/oder Zugang oder Hintertüren zu damit verbundenen schändlichen Hosts zu gewähren.
Darüber hinaus handelt es sich bei PAN-Produkten in der Regel um Tools auf Unternehmensebene; obwohl dies weitgehend von der Implementierung und Netzwerksegmentierung des Eigentümers abhängt, könnte eine effektive Kompromittierung einem Angreifer die Möglichkeit geben, sich seitlich zu bewegen.
In Anbetracht der Tatsache, dass diese kritische Schwachstelle derzeit auch in freier Wildbahn ausgenutzt wird, empfiehlt Censys Kunden mit PAN-OS-abhängigen Produkten wie GlobalProtect, der Behebung dieser Schwachstellen höchste Priorität einzuräumen.

Betroffene Vermögenswerte

Laut PAN betrifft dieses Problem nur Geräte mit PAN-OS 10.2 (vor 0.2.9-h1), PAN-OS 11.0 (vor 11.0.4-h1) und PAN-OS 11.1 (vor 11.1.2-h3).
CensysDasRapid Response Team war in der Lage, Palo Alto Networks GlobalProtect-Geräte zuidentifizieren. Aufgrund der Beschaffenheit des Produkts waren spezifische Versionsinformationen nicht verfügbar. Diejenigen, die möglicherweise betroffen sind, müssen die Versionsinformationen nach dem Auffinden von GlobalProtect-Geräten mithilfe der bereitgestellten Censys -Abfragen überprüfen.

Censys ASM-Abfrage für exponierte Assets.
Diese Abfrage identifiziert PAN GlobalProtect-Anlagen, die dem öffentlichen Internet ausgesetzt sind. Die Ermittlung spezifischer Versionen, die mit den von der oben genannten Schwachstelle betroffenen Versionen übereinstimmen könnten, erfordert, dass die Eigentümer ihre Assets untersuchen, sobald sie identifiziert sind.

Censys Search Abfrage
services.software: (Hersteller: "Palo Alto Networks" und Produkt: "GlobalProtect")
Diese Abfrage identifiziert PAN GlobalProtect-Ressourcen, die dem öffentlichen Internet ausgesetzt sind. Um die spezifischen Versionen zu bestimmen, die möglicherweise mit den Versionen übereinstimmen, die von der oben genannten Schwachstelle betroffen sind, müssen die Eigentümer ihre Anlagen untersuchen, sobald sie identifiziert sind.

Empfehlungen für die Behebung

von Palo Alto Networks geben an, dass Fixes für die betroffenen Versionen "in der Entwicklung sind und voraussichtlich bis zum 14. April 2024 veröffentlicht werden." Update 15. April 2024: Hotfixes 10.2.9-h1, 11.0.4-h1 und 11.1.2-h3 sind jetzt verfügbar. Korrekturen für neuere Versionen sind in Arbeit. Spezifische, proprietäre Abhilfemöglichkeiten sind hier unter "Workarounds and Mitigations" verfügbar. Auch wenn PAN dies nicht explizit erwähnt, empfiehlt Censys die Anwendung dieser Korrekturen, sobald sie veröffentlicht sind.

Wenn Sie Hilfe bei der eindeutigen Identifizierung dieser Vermögenswerte benötigen, lassen Sie es uns bitte wissen.

Zurück zu Ressourcen Hub
Lösungen für das Management von Angriffsflächen
Mehr erfahren