Alert GCSA-24057 - Vulnerabilita' critica in Palo Alto Networks PAN-OS
******************************************************************
Alert ID: GCSA-24057
data: 12 aprile 2024
titolo: Vulnerabilita' critica in Palo Alto Networks PAN-OS
******************************************************************
:: Descrizione del problema
Palo Alto Networks ha rilasciato degli aggiornamenti per risolvere
otto bug di sicurezza nel software PAN-OS, tra cui una vulnerabilita' critica:
CVE-2024-3400, CVSSv4.0 Base Score: 10
Reference PAN-252214
PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway
https://security.paloaltonetworks.com/CVE-2024-3400
Tale vulnerabilita' risulta essere in corso di sfruttamento.
Il problema riguarda solo i firewall PAN-OS 10.2, 11.0 e 11.1
con le configurazioni abilitate sia per il gateway GlobalProtect
che per la telemetria del dispositivo.
Per la CVE-2024-3400, il vendor comunica che gli aggiornamenti sono in fase di sviluppo
e che verranno rilasciati entro il 14 aprile 2024. In attesa di tale rilascio,
si raccomanda l'applicazione delle mitigazioni indicate nel bollettino.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
PAN-OS 8.1 versioni precedenti alla 8.1.26
PAN-OS 9.0 versioni precedenti alla 9.0.17-h4
PAN-OS 9.1 versioni precedenti alla 9.1.17
PAN-OS 10.0 versioni precedenti alla 10.0.13
PAN-OS 10.1 versioni precedenti alla 10.1.12
PAN-OS 10.2 versioni precedenti alla 10.2.9-h1
PAN-OS 11.0 versioni precedenti alla 11.0.4-h1
PAN-OS 11.1 versioni precedenti alla 11.1.2-h3
Prisma Access versioni precedenti alla 10.2.4
:: Impatto
Esecuzione remota di comandi o codice arbitrario (RCE)
Rivelazione di informazioni (ID)
Denial of Service (DoS)
Bypass delle funzionalita' di sicurezza (SFB)
:: Soluzioni
Applicare gli aggiornamenti appena possibile.
Per mitigare la CVE-2024-3400, oltre ad abilitare il Threat ID 95187, i customer devono garantire
che sia stata applicata la protezione dalle vulnerabilita' alla loro GlobalProtect interface
per impedire lo sfruttamento di questo problema sui dispositivi.
Per ulteriori informazioni, consultare la pagina
https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184
Se non e' possibile applicare la Threat Prevention based mitigation e' comunque possibile
mitigare l'impatto della vulnerabilita' disabilitando temporaneamente la telemetria
fino a quando non sara' disponible l'aggiornamento.
Per informazioni su come disattivare la telemetria, consultare la seguente pagina:
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-disable
:: Riferimenti
Palo Alto Networks Security Advisories
https://security.paloaltonetworks.com/
https://security.paloaltonetworks.com/CVE-2024-3400
https://security.paloaltonetworks.com/CVE-2024-3383
https://security.paloaltonetworks.com/CVE-2024-3385
https://security.paloaltonetworks.com/CVE-2024-3384
https://security.paloaltonetworks.com/CVE-2024-3382
https://security.paloaltonetworks.com/CVE-2024-3386
https://security.paloaltonetworks.com/CVE-2024-3387
https://security.paloaltonetworks.com/CVE-2024-3388
SecurityWeek
https://www.securityweek.com/palo-alto-networks-patches-vulnerabilities-allowing-firewall-disruption/
https://www.securityweek.com/palo-alto-networks-warns-of-exploited-firewall-vulnerability/
The Hacker News
https://thehackernews.com/2024/04/zero-day-alert-critical-palo-alto.html
Bleeping Computer
https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-pan-os-firewall-zero-day-used-in-attacks/
Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3400
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3383
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3385
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3384
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3382
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3386
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3387
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3388
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZhlakg0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCkPwAn17x+dk1xdveq5Q9KGBQV8smd6HsAKDOrTfa8y26
LOYidd1G2zFlahGGCw==
=zaJK
-----END PGP SIGNATURE-----
Alert ID: GCSA-24057
data: 12 aprile 2024
titolo: Vulnerabilita' critica in Palo Alto Networks PAN-OS
******************************************************************
:: Descrizione del problema
Palo Alto Networks ha rilasciato degli aggiornamenti per risolvere
otto bug di sicurezza nel software PAN-OS, tra cui una vulnerabilita' critica:
CVE-2024-3400, CVSSv4.0 Base Score: 10
Reference PAN-252214
PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway
https://security.paloaltonetworks.com/CVE-2024-3400
Tale vulnerabilita' risulta essere in corso di sfruttamento.
Il problema riguarda solo i firewall PAN-OS 10.2, 11.0 e 11.1
con le configurazioni abilitate sia per il gateway GlobalProtect
che per la telemetria del dispositivo.
Per la CVE-2024-3400, il vendor comunica che gli aggiornamenti sono in fase di sviluppo
e che verranno rilasciati entro il 14 aprile 2024. In attesa di tale rilascio,
si raccomanda l'applicazione delle mitigazioni indicate nel bollettino.
Maggiori informazioni sono disponibili alla sezione "Riferimenti".
:: Software interessato
PAN-OS 8.1 versioni precedenti alla 8.1.26
PAN-OS 9.0 versioni precedenti alla 9.0.17-h4
PAN-OS 9.1 versioni precedenti alla 9.1.17
PAN-OS 10.0 versioni precedenti alla 10.0.13
PAN-OS 10.1 versioni precedenti alla 10.1.12
PAN-OS 10.2 versioni precedenti alla 10.2.9-h1
PAN-OS 11.0 versioni precedenti alla 11.0.4-h1
PAN-OS 11.1 versioni precedenti alla 11.1.2-h3
Prisma Access versioni precedenti alla 10.2.4
:: Impatto
Esecuzione remota di comandi o codice arbitrario (RCE)
Rivelazione di informazioni (ID)
Denial of Service (DoS)
Bypass delle funzionalita' di sicurezza (SFB)
:: Soluzioni
Applicare gli aggiornamenti appena possibile.
Per mitigare la CVE-2024-3400, oltre ad abilitare il Threat ID 95187, i customer devono garantire
che sia stata applicata la protezione dalle vulnerabilita' alla loro GlobalProtect interface
per impedire lo sfruttamento di questo problema sui dispositivi.
Per ulteriori informazioni, consultare la pagina
https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184
Se non e' possibile applicare la Threat Prevention based mitigation e' comunque possibile
mitigare l'impatto della vulnerabilita' disabilitando temporaneamente la telemetria
fino a quando non sara' disponible l'aggiornamento.
Per informazioni su come disattivare la telemetria, consultare la seguente pagina:
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-disable
:: Riferimenti
Palo Alto Networks Security Advisories
https://security.paloaltonetworks.com/
https://security.paloaltonetworks.com/CVE-2024-3400
https://security.paloaltonetworks.com/CVE-2024-3383
https://security.paloaltonetworks.com/CVE-2024-3385
https://security.paloaltonetworks.com/CVE-2024-3384
https://security.paloaltonetworks.com/CVE-2024-3382
https://security.paloaltonetworks.com/CVE-2024-3386
https://security.paloaltonetworks.com/CVE-2024-3387
https://security.paloaltonetworks.com/CVE-2024-3388
SecurityWeek
https://www.securityweek.com/palo-alto-networks-patches-vulnerabilities-allowing-firewall-disruption/
https://www.securityweek.com/palo-alto-networks-warns-of-exploited-firewall-vulnerability/
The Hacker News
https://thehackernews.com/2024/04/zero-day-alert-critical-palo-alto.html
Bleeping Computer
https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-pan-os-firewall-zero-day-used-in-attacks/
Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3400
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3383
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3385
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3384
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3382
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3386
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3387
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3388
GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----
iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZhlakg0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCkPwAn17x+dk1xdveq5Q9KGBQV8smd6HsAKDOrTfa8y26
LOYidd1G2zFlahGGCw==
=zaJK
-----END PGP SIGNATURE-----