Data di creazione: 12/04/2024 11:09

Sintesi

Aggiornamenti di sicurezza sanano 5 vulnerabilità, di cui una con gravità “critica”, nel software PAN-OS. Tali vulnerabilità, qualora sfruttate, potrebbero consentire a un utente remoto non autenticato di eseguire codice arbitrario, accedere a informazioni sensibili o compromettere la disponibilità del servizio sui sistemi target.

Note: la vulnerabilità CVE-2024-3400 risulta essere sfruttata attivamente in rete.

Note (aggiornamento del 17/04/2024): un Proof of Concept (PoC) per lo sfruttamento delle CVE-2024-3400 risulta disponibile in rete.

Tipologia

• Remote Code Execution
• Information Disclosure
• Denial of Service

Prodotti e versioni affette

PAN-OS

• 11.1.x, versioni precedenti alle 11.1.2-h3, 11.1.1-h1 e 11.1.2-h3
• 11.0.x, versioni precedenti alle 11.0.4-h1, 11.0.2-h4 e 11.0.3-h10
• 10.2.x, versioni precedenti alle 10.2.9-h1, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8 e 10.2.8-h3
• 10.1.x, versioni precedenti alla 10.1.12
• 10.0.x, versioni precedenti alla 10.0.12
• 9.1.x, versioni precedenti alla 9.1.17
• 9.0.x, versioni precedenti alla 9.0.17
• 8.1.x, versioni precedenti alla 8.1.24

Azioni di mitigazione

In linea con le dichiarazioni del vendor, si consiglia di aggiornare i prodotti vulnerabili seguendo le indicazioni del bollettino di sicurezza riportato nella sezione Riferimenti.

Nota: in riferimento alla CVE-2024-3400, il vendor afferma che verranno rilasciati aggiornamenti entro il 14 aprile 2024. In attesa di tale rilascio, si raccomanda l’applicazione delle mitigazioni indicate nel bollettino.

Nota (aggiornamento del 16/04/2024): in riferimento alla CVE-2024-3400, il vendor ha rilasciato gli aggiornamenti per le PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 e in tutte le versioni successive di PAN-OS. Ulteriori aggiornamenti saranno disponibili per le restanti versioni, come indicato nel bollettino.

Nota (aggiornamento del 17/04/2024): in riferimento alla CVE-2024-3400, il vendor afferma che la disattivazione della telemetria sui firewall PAN-OS non impedisce l’esposizione a possibili attacchi. Inoltre, il vendor ha incluso nel suo bollettino istruzioni relative alla modalità di rilevamento di potenziali attività di sfruttamento di tale vulnerabilità. Nello specifico utilizzare il seguente comando dalla CLI di PAN-OS:

grep pattern "failed to unmarshal session(.\+.\/" mp-log gpsvc.log*

I log di errore leciti che contengono “failed to unmarshal session” dovrebbero apparire come l’entry seguente:

    "message":"failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)"

Se il valore tra “session(” e “)” non appare come un GUID (nel formato mostrato sopra), ma contiene invece un percorso di file system, ciò potrebbe indicare la necessità di ulteriori analisi e l’entry del log potrebbe essere correlata al possibile sfruttamento della CVE-2024-3400.

Nota (aggiornamento del 26/04/2024): in riferimento alla CVE-2024-3400, il vendor ha rilasciato una KB in caso di avvenuta compromissione del sistema, con i passi suggeriti per la remediation.

Identificatori univoci vulnerabilità

CVE-2024-3382

CVE-2024-3383

CVE-2024-3384

CVE-2024-3385

CVE-2024-3400

Riferimenti

https://security.paloaltonetworks.com/CVE-2024-3383

https://security.paloaltonetworks.com/CVE-2024-3385

https://security.paloaltonetworks.com/CVE-2024-3384

https://security.paloaltonetworks.com/CVE-2024-3382

https://security.paloaltonetworks.com/CVE-2024-3400

https://unit42.paloaltonetworks.com/cve-2024-3400/

https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrO6CAK

¹La presente stima è effettuata tenendo conto di diversi parametri, tra i quali: CVSS, disponibilità di patch/workaround e PoC, diffusione dei software/dispositivi interessati nella comunità di riferimento.