Vrijdag 12 april 2024 – *UPDATED 19/04/2024*
*Nieuwste datums wanneer de updates verwacht worden is voorzien*
Introductie
Vandaag heeft Palo Alto Networks een kwetsbaarheid voor command injection aangekondigd in de GlobalProtect Gateway-functie van PAN-OS. De kwetsbaarheid is momenteel niet gepatcht, maar patches worden verwacht op zondag 14 april 2024.
CVE-2024-3400 (CVSS v3.1: 10 [Critical]) kan een niet-geverifieerde externe aanvaller in staat stellen willekeurige code uit te voeren met rootrechten op de firewall.
Klanten van Palo Alto Networks kunnen een TSF-bestand voor technische ondersteuning uploaden naar het Customer Support Portal om te bepalen of hun apparaatlogboeken overeenkomen met bekende IOC’s voor dit beveiligingslek.
Affected Products
Versions | Affected | Unaffected |
---|---|---|
Cloud NGFW | None | All |
PAN-OS 11.1 |
|
|
PAN-OS 11.0 |
|
|
PAN-OS 10.2 |
|
|
PAN-OS 10.1 | None | All |
PAN-OS 10.0 | None | All |
PAN-OS 9.1 | None | All |
PAN-OS 9.0 | None | All |
Prisma Access | None | All |
Oplossingen
Palo Alto Networks heeft releases van de volgende hotfixes gepland: PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 en PAN-OS 11.1.2-h3 tegen 14 april.
Threat-ID 95187, 95819 en 95191 (geïntroduceerd in Applications and Threats content version 8833-8682) kan aanvallen op dit beveiligingslek blokkeren. Klanten moeten er ook voor zorgen dat bescherming tegen kwetsbaarheden is toegepast op de GlobalProtect-interface. Meer informatie is beschikbaar hier.
Security Aanbeveling
In de vorige aanbeveling van Palo Alto stond dat het uitschakelen van apparaat telemetrie een oplossing kon aanbieden, dit is niet meer het geval indien dit is toegepast gelieve deze telemetrie uit te schakelen.
Palo Alto heeft software updates voorzien voor de producten die betrokken zijn bij de vulnerability en raden deze aan om deze zo snel mogelijk toe te passen.
Palo Alto heeft de volgende lijst voorzien met updates en de datum wanneer deze verwacht mogen worden:
PAN-OS 10.2:
- 10.2.9-h1 (Released 4/14/24)
- 10.2.8-h3 (Released 4/15/24)
- 10.2.7-h8 (Released 4/15/24)
- 10.2.6-h3 (Released 4/16/24)
- 10.2.5-h6 (Released 4/16/24)
- 10.2.4-h16 (Released 4/18/24)
- 10.2.3-h13 (Released 4/18/24)
- 10.2.2-h5 (Released 4/18/24)
- 10.2.1-h2 (Released 4/18/24)
- 10.2.0-h3 (Released 4/18/24)
PAN-OS 11.0:
- 11.0.4-h1 (Released 4/14/24)
- 11.0.4-h2 (Released 4/17/24)
- 11.0.3-h10 (Released 4/16/24)
- 11.0.2-h4 (Released 4/16/24)
- 11.0.1-h4 (Released 4/18/24)
- 11.0.0-h3 (Released 4/18/24)
PAN-OS 11.1:
- 11.1.2-h3 (Released 4/14/24)
- 11.1.1-h1 (Released 4/16/24)
- 11.1.0-h3 (Released 4/16/24)