Palo Alto atualiza correção para bug de firewall máximo crítico
Embora a PAN tenha originalmente descrito os ataques que exploram a vulnerabilidade como sendo limitados, o seu volume está a crescer cada vez mais, com mais explorações divulgadas por terceiros.
A Palo Alto Networks (PAN) está compartilhando informações atualizadas de remediação sobre uma vulnerabilidade crítica máxima que está sendo ativamente explorada em estado selvagem.
A vulnerabilidade, rastreada como CVE-2024-3400, tem uma pontuação de gravidade de vulnerabilidade CVSS de 10 em 10 e pode permitir que um agente de ameaça não autenticado execute código arbitrário com privilégios de root no dispositivo de firewall, de acordo com a atualização .
Presente no PAN-OS 10.2, 11.0 e 11.1, a falha foi divulgada originalmente em 12 de abril após ser descoberta por pesquisadores da Volexity.
O PAN disse que o número de ataques que exploram esta vulnerabilidade continua a crescer e que “as provas de conceitos desta vulnerabilidade foram divulgadas publicamente por terceiros”.
A empresa está recomendando que os clientes atualizem para uma versão fixa do PAN-OS, como PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 e todos os PAN-OS posteriores. Versões do sistema operacional, pois isso protegerá totalmente seus dispositivos. O PAN também lançou hotfixes adicionais para outras versões de manutenção implantadas.
O PAN recomenda que, para mitigar totalmente o problema, os clientes tomem medidas com base nas atividades suspeitas. Por exemplo, se houve atividade de sondagem ou teste, os usuários devem atualizar para o hotfix PAN-OS mais recente e proteger as configurações de execução, criar uma chave mestra e eleger AES-256-GCM . Isso é definido como não havendo indicação de comprometimento ou evidência de que a vulnerabilidade que está sendo testada no dispositivo (ou seja, um arquivo de 0 byte foi criado e reside no firewall, mas não há indicação de qualquer vulnerabilidade não autorizada conhecida). execução de comando).
“Os hotfixes do PAN-OS corrigem suficientemente a vulnerabilidade”, de acordo com a atualização. “A redefinição de dados privados ou a redefinição de fábrica não são sugeridas, pois não há indicação de qualquer execução de comando não autorizada conhecida ou exfiltração de arquivos.”
No entanto, se um arquivo no dispositivo tiver sido copiado para um local acessível através de uma solicitação Web (na maioria dos casos, o arquivo que está sendo copiado é running_config.xml, de acordo com o PAN), os usuários deverão realizar uma redefinição de dados privada , o que elimina riscos de potencial uso indevido de dados do dispositivo. E se houver evidências de execução interativa de comandos (ou seja, presença de backdoors baseados em shell, introdução de código, extração de arquivos, execução de comandos), o PAN sugeriu fazer uma redefinição completa de fábrica.