专栏名称: 微步在线研究响应中心
微步情报局最新威胁事件分析、漏洞分析、安全研究成果共享,探究网络攻击的真相
目录
相关文章推荐
896汽车调频  ·  郭艾伦再发声:对方一直在逃避,太让人寒心 ·  2 天前  
896汽车调频  ·  郭艾伦再发声:对方一直在逃避,太让人寒心 ·  2 天前  
羊城晚报金羊网  ·  眼球被戳中结膜破碎,郭艾伦再次回应受伤事件: ... ·  2 天前  
越牛新闻  ·  郭艾伦再回忆“眼睛受伤缝40多针”:这口气咽 ... ·  2 天前  
越牛新闻  ·  郭艾伦再回忆“眼睛受伤缝40多针”:这口气咽 ... ·  2 天前  
懒熊体育  ·  进军风口浪尖的泰国,给中国企业的“体育生存指 ... ·  4 天前  
江苏教育新闻  ·  “50岁,仍要拼!”她宣布复出 ·  3 天前  
51好读  ›  专栏  ›  微步在线研究响应中心

【已复现】Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞复现

微步在线研究响应中心  · 公众号  ·  · 2024-04-17 18:59

正文


漏洞概况


Palo Alto Networks PAN-OS是一套专为其下一代防火墙 (NGFW) 产品开发的操作系统,提供了全面的网络安全功能,包括威胁防护,网络分段,远程访问等;GlobalProtect是Palo Alto Networks一套远程访问 VPN 解决方案,集成于PAN-OS系统中。
微步漏洞团队近日获取到 GlobalProtect 命令注入漏洞 (https://x.threatbook.com/v5/vul/XVE-2024-7807) 情报。未经身份验证的攻击者可以利用该漏洞 以ROOT权限执行任意命令
该漏洞于4月10日发现在野利用行为,经研判,该漏洞利用难度低,影响范围较广,建议尽快修复

漏洞处置优先级(VPT)


综合处置优先级:

基本信息

微步编号

XVE-2024-7807
漏洞类型
命令注入

利用条件评估

利用漏洞的网络条件

远程

是否需要绕过安全机制

不需要

对被攻击系统的要求

需配置GlobalProctect功能

利用漏洞的权限要求

无需任何权限

是否需要受害者配合

不需要

利用情报

POC是否公开


微步已捕获攻击行为


漏洞影响范围



产品名称

Palo Alto Networks PAN-OS

受影响版本

version < 11.0.4-h1

version < 10.2.9-h1

version < 10.2.8-h3

version < 10.2.7-h8

version < 10.2.6-h3

version < 11.1.0-h3

version < 11.1.2-h3

version < 11.0.2-h4

version < 11.0.3-h10

影响范围

十万级

有无修复补丁



前往X情报社区资产测绘查看影响资产详情:

https://x.threatbook.com/v5/survey?q=app%3D%22PaloAlto-GlobalProtect%22


漏洞复现


漏洞成功利用会在 /opt/panlogs/tmp/device_telemetry/hour/ 和 /opt/panlogs/tmp/device_telemetry/day/ 目录遗留payload文件。

修复方案


官方修复方案:

该漏洞已在 PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、PAN-OS 11.1.2-h3 以及更高版本的 PAN-OS 修复。
完整的安全版本和缓解措施可参考:

https://security.paloaltonetworks.com/CVE-2024-3400


临时修复方案:

使用防护类设备对相关资产进行防护, 拦截请求中Cookie字段出现的恶意命令


相关IOC


  • 172.233.228.93

  • 66.235.168.222

  • 144.172.79.92

  • nhdata.s3-us-west-2.amazonaws.com


微步产品侧支持情况


微步威胁感知平台TDP已支持检测,TDP命令执行攻击规则默认可以检测此漏洞。


微步安全情报网关OneSIG已支持防护,OneSIG命令执行攻击规则默认可以检测此漏洞。


时间线


  • 2024.04.12 微步获取该漏洞相关情报

  • 2024.04.12 TDP和OneSIG支持检测和防护
  • 2024.04.17 Poc公开

  • 2024.04.17 微步发布报告



网安年度盛会 CSOP 2024 · 上海站将于明日(4/18)开幕,期待相见~







请到「今天看啥」查看全文


推荐文章
896汽车调频  ·  郭艾伦再发声:对方一直在逃避,太让人寒心
2 天前
896汽车调频  ·  郭艾伦再发声:对方一直在逃避,太让人寒心
2 天前
羊城晚报金羊网  ·  眼球被戳中结膜破碎,郭艾伦再次回应受伤事件:伤人者没有担当,对方态度让人寒心
2 天前
越牛新闻  ·  郭艾伦再回忆“眼睛受伤缝40多针”:这口气咽不下去,对方逃避责任
2 天前
越牛新闻  ·  郭艾伦再回忆“眼睛受伤缝40多针”:这口气咽不下去,对方逃避责任
2 天前
懒熊体育  ·  进军风口浪尖的泰国,给中国企业的“体育生存指南”|出海·体育航道
4 天前
江苏教育新闻  ·  “50岁,仍要拼!”她宣布复出
3 天前
新智派  ·  让iPhone放音乐切换时可跳出通知状态栏提醒!
8 年前
51找翻译  ·  【活动预告】同传体验日——担任翻译,体验同传(3.26)
7 年前
猎云网  ·  投资人只会对你摇头?做到这三点换他们倒追你!
7 年前
汽车商业评论  ·  库里“加持”下,英菲尼迪要做一个怎样的挑战者 | 汽车商业评论
7 年前
医药云端工作室  ·  医药代表想伪装成患者见医生,且慢!你有检察院的未行贿证明吗?
7 年前
Sov5搜索   ·   小百科   ·   今天看啥   ·   移动版
51好读 - 好文章就要读起来!