Impatto Sistemico

Critico (79.48)

Sintesi

Aggiornamenti di sicurezza sanano 5 vulnerabilità, di cui una con gravità “critica”, nel software PAN-OS. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente remoto non autenticato di eseguire codice arbitrario, accedere a informazioni sensibili o compromettere la disponibilità del servizio sui sistemi target.

Note : la vulnerabilità CVE-2024-3400 risulta essere sfruttata attivamente in rete.

Note : un Proof of Concept (PoC) per lo sfruttamento delle CVE-2024-3400 risulta disponibile in rete.

Tipologia

• Remote Code Execution
• Information Disclosure
• Denial of Service

Prodotti e versioni affette

PAN-OS

• 11.1.x, versioni precedenti alle 11.1.0-h3, 11.1.1-h1 e 11.1.2-h3
• 11.0.x, versioni precedenti alle 11.0.4-h1, 11.0.3-h10, 11.0.2-h4, 11.0.1-h4 e 11.0.0-h3
• 10.2.x, versioni precedenti alle 10.2.9-h1, 10.2.8-h3, 10.2.7-h8, 10.2.6-h3, 10.2.5-h6, 10.2.4-h16, 10.2.3-h13, 10.2.2-h5, 10.2.1-h2 e 10.2.0-h3
• 10.1.x, versioni precedenti alla 10.1.12
• 10.0.x, versioni precedenti alla 10.0.12
• 9.1.x, versioni precedenti alla 9.1.17
• 9.0.x, versioni precedenti alla 9.0.17
• 8.1.x, versioni precedenti alla 8.1.24

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Nota: in riferimento alla CVE-2024-3400 , il vendor afferma che verranno rilasciati aggiornamenti entro il 14 aprile 2024. In attesa di tale rilascio, si raccomanda l’applicazione delle mitigazioni indicate nel bollettino .

Nota (aggiornamento del 16/04/2024): in riferimento alla CVE-2024-3400 , il vendor ha rilasciato gli aggiornamenti per le PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 e in tutte le versioni successive di PAN-OS. Ulteriori aggiornamenti saranno disponibili per le restanti versioni, come indicato nel bollettino.

Nota (aggiornamento del 17/04/2024): in riferimento alla CVE-2024-3400 , il vendor afferma che la disattivazione della telemetria sui firewall PAN-OS non impedisce l’esposizione a possibili attacchi. Inoltre, il vendor ha incluso nel suo bollettino istruzioni relative alla modalità di rilevamento di potenziali attività di sfruttamento di tale vulnerabilità. Nello specifico utilizzare il seguente comando dalla CLI di PAN-OS:

grep pattern "failed to unmarshal session(.\+.\/" mp-log gpsvc.log*

I log di errore leciti che contengono “failed to unmarshal session” dovrebbero apparire come l’entry seguente:

    "message":"failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)"

Se il valore tra “session(” e “)” non appare come un GUID (nel formato mostrato sopra), ma contiene invece un percorso di file system, ciò potrebbe indicare la necessità di ulteriori analisi e l’entry del log potrebbe essere correlata al possibile sfruttamento della CVE-2024-3400 .

Nota (aggiornamento del 26/04/2024): in riferimento alla CVE-2024-3400 , il vendor ha rilasciato una KB in caso di avvenuta compromissione del sistema, con i passi suggeriti per la remediation.