Palo Alto Networks发出警告,该公司的PAN-OS防火墙存在命令注入漏洞,使未经身份验证的攻击者能够以root权限执行任意代码。这个漏洞已经被大量利用,并且建议用户立即采取缓解措施或进行更新操作。
Palo Alto Networks表示,这个漏洞存在于设置GlobalProtect网关或GlobalProtect门户(或两者)功能的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1防火墙中,受影响的版本如下:
– PAN-OS < 10.2.9-h1
– PAN-OS < 11.0.4-h1
– PAN-OS < 11.1.2-h3
Palo Alto Networks的安全研究团队Unit42发现,这个漏洞的概念验证(Proof of Concept,PoC)攻击程序已经被第三方公开在网络上,利用这个漏洞的攻击数量不断增加。在安全威胁情报研究公司Volexity扩大调查后,发现自2024年3月26日起,多个公司和组织遭受攻击者利用这个漏洞的攻击。此外,攻击者还通过在防火墙设备上放置Zore-bytes文件来验证漏洞的可利用性。在4月7日,Volexity观察到攻击者试图在用户端的防火墙部署后门程序,但未成功。4月10日,攻击者成功植入了恶意Payload,并下载其他恶意程序,以便进行内部横向移动和窃取凭证和文件。
Palo Alto Networks提供用户通过PAN-OS CLI的命令来帮助识别设备上是否存在被攻击的迹象:
1. 搜索gpsvc.log相关记录文件。
“`
grep pattern "failed to unmarshal session(.+./" mp-log gpsvc.log*
“`
2. 如果搜索到的记录中,"session("与")"之间的值不像是GUID,而是文件的路径或嵌入式shell命令,则需要进一步确认是否与CVE-2024-3400相关。
可能被利用的输出结果如下:
“`
failed to unmarshal session(../../some/path)
“`
正常输出结果如下:
“`
failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)
“`
Palo Alto Networks已针对CVE-2024-3400发布了更新程序,用户除了通过官方提供的检测方式自行检测外,还应尽快完成更新操作,避免遭有心人士利用漏洞入侵。