內容
Palo Ato Networks發出告警,該公司PAN-OS防火牆存在命令注入漏洞(Command Injection),使未經身份驗證的攻擊者能夠在防火牆以root權限執行任意程式碼,並已經在被大量利用攻擊中,建議使用者儘速採取緩解措施或進行更新作業。
Palo Ato Networks表示漏洞存在於設置GlobalProtect gateway或 GlobalProtect portal(或兩者)功能的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1防火牆,受影響版本如下:
PAN-OS < 10.2.9-h1 PAN-OS <11.0.4-h1 PAN-OS < 11.1.2-h3 Palo Ato Networks安全研究組織Unit42發現此漏洞概念性驗證(Proof of Concept,PoC)攻擊程式已經由第三方公開於網路,利用此漏洞的攻擊數量不斷增加。在資安威脅情報研究公司Volexity擴大調查後,發現自2024年3月26日起,多個公司和組織遭受攻擊者利用這個漏洞的攻擊,而且,攻擊者疑似透過在火牆設備上放置Zore-bytes文件以驗證漏洞可利用性。另外,在4月7日Volexity觀察到攻擊者嘗試在使用者端的防火牆部署後門程式,但未成功。4月10日,即發現攻擊者成功地植入了惡意Payload,並下載其它惡意程式,以便進行內部橫向移動和竊取憑證和檔案。 Palo Ato Networks提供用戶透過PAN-OS CLI 的命令,協助辨識裝置上是否有此漏洞被攻擊的跡象: 1.搜尋 gpsvc.log相關紀錄檔 grep pattern "failed to unmarshal session(.\+.\/" mp-log gpsvc.log* 2.若搜尋到的記錄中,”session(“ 與 ”)” 之間的值不像是GUID,而是檔案的路徑或嵌入式shell命令,即需要進一步確認是否與CVE-2024-3400相關。 可能遭利用之輸出結果如下: failed to unmarshal session(../../some/path) 正常輸出結果如下: failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef) Palo Ato Networks已針對CVE-2024-3400釋出更新程式,使用者除了透過官方提供檢測方式自行檢測外,亦應儘速完成更新作業,避免遭有心人士利用漏洞入侵。