Tin An Ninh Mạng

[Cập nhật] Lỗ hổng zero-day 10 điểm trong hệ điều hành tường lửa PAN-OS

Lo hong zero day 10 diem trong he dieu hanh tuong lua PAN OS

Cập nhật:

Công ty an ninh mạng Palo Alto Networks đã chia sẻ thêm thông tin chi tiết về lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến PAN-OS.

Lỗ hổng này có tên chính thức là CVE-2024-3400 và được tìm thấy trong các phiên bản mới hơn của phần mềm PAN-OS chạy trên các sản phẩm tường lửa GlobalProtect của Palo Alto. Vì lỗ hổng này cho phép tin tặc giành quyền kiểm soát hoàn toàn tường lửa bị ảnh hưởng qua internet mà không cần xác thực nên Palo Alto đã xếp hạng lỗi này ở mức độ nghiêm trọng tối đa.

Lỗ hổng này là sự kết hợp của hai lỗi trong các phiên bản PAN-OS 10.2, PAN-OS 11.0 và PAN-OS 11.1 của phần mềm.

Lỗi thứ nhất, dịch vụ GlobalProtect không xác thực đầy đủ định dạng ID phiên trước khi lưu trữ chúng. Điều này cho phép kẻ tấn công lưu trữ một tệp trống với tên tệp đã chọn.

Lỗi thứ hai (tin rằng các tệp được tạo bởi hệ thống) đã sử dụng tên tệp như một phần của lệnh.

Điều đáng lưu ý là mặc dù cả hai lỗi trên đều không đủ nghiêm trọng nhưng khi kết hợp với nhau, chúng có thể dẫn đến việc thực thi lệnh shell từ xa không được xác thực.

Palo Alto Networks cho biết tác nhân đe dọa đằng sau việc khai thác lỗ hổng zero-day có tên gọi là UTA0218, đã khai thác lỗ hổng để tạo cửa sau và truy cập sâu hơn vào mạng của nạn nhân. Hoạt động này đang được theo dõi dưới tên Operation MidnightEclipse .

Kẻ tấn công thực hiện qua 2 giai đoạn:

  • Ở giai đoạn 1, kẻ tấn công gửi lệnh shell được tạo cẩn thận thay vì ID phiên hợp lệ tới GlobalProtect. Điều này dẫn đến việc tạo một tệp trống trên hệ thống với lệnh nhúng làm tên tệp, do kẻ tấn công chọn.
  • Ở giai đoạn 2, một đầu việc hệ thống được lên lịch không nghi ngờ chạy thường xuyên sử dụng tên tệp do kẻ tấn công cung cấp trong một lệnh. Điều này dẫn đến việc thực thi lệnh do kẻ tấn công cung cấp với các đặc quyền nâng cao.

Ban đầu Palo Alto Networks lưu ý rằng việc khai thác thành công CVE-2024-3400 yêu cầu phải bật cấu hình tường lửa cho cổng GlobalProtect gateway hoặc GlobalProtect portal (hoặc cả hai) và bật tính năng đo từ xa của thiết bị, nhưng công ty đã xác nhận rằng tính năng đo từ xa của thiết bị không liên quan đến vấn đề này.

Công ty đã cập nhật thêm các bản vá cho lỗ hổng này ngoài các phiên bản chính trong vài ngày qua bao gồm các bản phát hành sau:

  • PAN-OS 10.2.9-h1
  • PAN-OS 10.2.8-h3
  • PAN-OS 10.2.7-h8
  • PAN-OS 10.2.6-h3
  • PAN-OS 10.2.5-h6
  • PAN-OS 10.2.4-h16
  • PAN-OS 10.2.3-h13
  • PAN-OS 10.2.2-h5
  • PAN-OS 10.2.1-h2
  • PAN-OS 10.2.0-h3
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.0.4-h2
  • PAN-OS 11.0.3-h10
  • PAN-OS 11.0.2-h4
  • PAN-OS 11.0.1-h4
  • PAN-OS 11.0.0-h3
  • PAN-OS 11.1.2-h3
  • PAN-OS 11.1.1-h1
  • PAN-OS 11.1.0-h3

Người dùng nên thực hiện các bước để áp dụng các hotfix càng sớm càng tốt để bảo vệ khỏi các mối đe dọa tiềm ẩn.


Công ty an ninh mạng Palo Alto Networks chuyên cung cấp giải pháp tường lửa vừa công bố một lỗ hổng zero-day nghiêm trọng với mã định danh CVE-2024-3400, điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với quyền root mà không cần xác thực.

{
“lightbox_close”: “Close”,
“lightbox_next”: “Next”,
“lightbox_previous”: “Previous”,
“lightbox_error”: “The requested content cannot be loaded. Please try again later.”,
“lightbox_start_slideshow”: “Start slideshow”,
“lightbox_stop_slideshow”: “Stop slideshow”,
“lightbox_full_screen”: “Full screen”,
“lightbox_thumbnails”: “Thumbnails”,
“lightbox_download”: “Download”,
“lightbox_share”: “Share”,
“lightbox_zoom”: “Zoom”,
“lightbox_new_window”: “New window”,
“lightbox_toggle_sidebar”: “Toggle sidebar”
}

1712994368373.png

Lỗ hổng ảnh hưởng đến các phiên bản PAN-OS sau:

  • PAN-OS 10.2.9-h1
  • PAN-OS 11.0.4-h1
  • PAN-OS 11.1.2-h3

Ngoài ra, lỗ hổng chỉ xảy ra trên các thiết bị tường lửa đã cấu hình với cả cổng Gateway GlobalProtect (Network > GlobalProtect > Gateways) và dịch vụ giám sát thiết bị (Device > Setup > Telemetry) được bật.

Đáng chú ý, Palo Alto Networks đã xác nhận có một số cuộc tấn công đang khai thác lỗ hổng CVE-2024-3400 trên thực tế. Vì vậy, người dùng cần:

  • Cập nhật bản vá mới nhất, dự kiến phát hành vào ngày 14 tháng 4 năm 2024.
  • Trong thời gian chờ bản vá chính thức, người dùng có thể kiểm tra và tắt tính năng giám sát trên các thiết bị tường lửa của Palo Alto hoặc đăng ký mã Threat ID 95187 để giảm thiểu rủi ro an ninh mạng.

Đăng ký liền tay Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !

Add Comment

Click here to post a comment

Đăng ký liền tay
Nhận Ngay Bài Mới

Subscribe ngay

Cám ơn bạn đã đăng ký !

Lỗi đăng ký !