Last updated at Mon, 22 Apr 2024 14:24:26 GMT

On Friday, April 12, Palo Alto Networks published an 咨询 cve - 2024 - 3400, a CVSS 10 zero-day vulnerability in several versions of PAN-OS, the operating system that runs on the company’s firewalls. According to the 供应商咨询, if conditions for exploitability are met, 该漏洞可能使未经身份验证的攻击者能够在防火墙上以根权限执行任意代码. 截至2024年4月14日(星期日),部分版本已提供补丁.

注意: 最初, 帕洛阿尔托网络公司的报告指出,只有使用PAN-OS 10的用户才容易受到攻击.2、pan-os.0, 和/or PAN-OS 11.1个防火墙,配置为GlobalProtect网关(或GlobalProtect门户) device telemetry enabled. 截至4月16日星期二,该公告已更新为“设备遥测” 需要启用PAN-OS防火墙才能暴露于与此漏洞相关的攻击中."

Palo Alto Networks’ 咨询 表明CVE-2024-3400已经在“有限数量的攻击”中被利用.该公司将这一漏洞的紧急程度定为最高. Palo Alto Networks has released an in-depth blog 关于攻击的范围,妥协的指标,以及对手的行为观察. We highly recommend reviewing it. 安全公司Volexity也发现了这个零日漏洞 a blog available here 通过广泛的分析、妥协指标和观察到的攻击者行为.

Mitigation guidance

CVE-2024-3400在披露时未打补丁,但补丁可用于 some versions of PAN-OS as of Sunday, April 14. 启用GlobalProtect(网关或门户)时,CVE-2024-3400会影响以下版本的PAN-OS:

  • PAN-OS 11.1(11前).1.2-h3)
  • PAN-OS 11.0(11前).0.4-h1)
  • PAN-OS 10.2(10前).2.7- 8小时,10点之前.2.8-h3, 10点之前.2.9-h1)
  • Additional versions have been added to 咨询 since initial publication

截至4月16日,供应商已经更新了他们的建议,以注意设备遥测 需要启用PAN-OS防火墙才能暴露于与此漏洞相关的攻击中. Palo Alto Networks’ Cloud NGFW 和 Prisma Access solutions are not affected; nor are earlier versions of PAN-OS (10.1, 10.0, 9.1和9.0).

重要的是: Palo Alto Networks has been continually updating their 咨询, 哪一个现在有一个受影响版本的广泛列表,以及预计何时修复. 如需更多资料及最新的补救指引,请 refer to the 供应商咨询 as the source of truth.

Patches for the CVE-2024-3400 were released on Sunday, April 14. Rapid7 recommends 应用ing the vendor-provided patch immediately, without waiting for a typical patch cycle to occur. 如果无法打补丁,请应用以下供应商提供的缓解措施之一:

  • 已订阅威胁防护的客户可以通过启用威胁ID 95187(在应用程序和威胁内容版本8833-8682中引入)来阻止针对此漏洞的攻击。. In addition to enabling Threat ID 95187, 客户应确保在其GlobalProtect接口上应用了漏洞保护,以防止在其设备上利用此问题. More information here.
  • 注意: 虽然禁用设备遥测技术最初被认为是一个临时的解决方案, 帕洛阿尔托网络公司表示,截至4月16日,禁用设备遥测不再是有效的缓解措施.

We also recommend reviewing indicators of compromise in Palo Alto Networks's blogVolexity的博客.

Rapid7客户

从周五开始,InsightVM和expose客户可以使用经过验证的漏洞检查, April 12 content release. 因为供应商在最初发布的建议中添加了更多易受攻击的版本, our engineering team has updated our vulnerability checks as of the Wednesday, April 17 内容发布,以便能够检测PAN-OS的其他易受攻击版本.

根据 供应商咨询, 运行易受攻击的防火墙并担心其环境中可能被利用的组织可以与Palo Alto Networks打开支持案例,以确定其设备日志是否与此漏洞的已知妥协指标(ioc)相匹配.

通过Rapid7扩展的检测规则库,insighttidr和Managed 检测 和 响应客户已经拥有了现有的检测覆盖范围. Rapid7建议在所有适用的主机上安装Insight Agent,以确保对可疑进程的可见性和适当的检测覆盖率. 以下是已部署的检测的非详尽列表,并会对与此零日漏洞相关的利用后行为发出警报:

  • Attacker Technique - NTDS File Access
  • Attacker Technique: Renamed AnyDesk Binary in Non-St和ard Location
  • Attacker Technique: Renamed EWSProxy in Non-St和ard Location
  • 攻击者技术:在非标准位置重命名AvastBrowserUpdate
  • Attacker Tool - Unknown Raw File Copy Utility For Credential Dumping
  • Credential Access - Copying Credential Files with Esenutil
  • 可疑进程:在英特尔根目录中的单个字符可执行文件
  • Suspicious Process - Avast Executable NOT in Program Files directory

更新

Friday, April 12, 2024: 更新 链接到Volexity blog on exploitation in the wild 和 indicators of compromise 和 Palo Alto Networks blog 关于这一事件. Updated to note availability of VM content.

Monday, April 15, 2024: Updated to note that patches were available Sunday, April 14. 更新注意到GlobalProtect门户也是一个易受攻击的配置(除了GlobalProtect网关).

Tuesday, April 16, 2024: Added more vulnerable versions of the PAN-OS 10.2.x version stream per the updated 供应商咨询. 截至4月16日,部分版本可获得补丁,但不是所有版本. The 咨询 has ETAs on in-flight fixes. Rapid7漏洞检查将于4月17日更新,以检测新列出的PAN-OS漏洞版本.

Tuesday, April 16, 2024: Updated to note that disabling device telemetry is no longer considered an effective mitigation; Palo Alto Networks has now indicated that "device telemetry 不 需要启用PAN-OS防火墙才能暴露于与此漏洞相关的攻击中."

Wednesday, April 17, 2024: For InsightVM 和 Nexpose customers, 漏洞检查已更新,以检测PAN-OS的其他易受攻击版本. 看到 供应商咨询 for the latest information.

Monday, April 22, 2024: 增加了insighttidr和Rapid7 耐多药客户的(非详尽的)检测规则警报列表.