Palo Alto Networks PAN-OS身份认证绕过+远程代码执行漏洞

发布于 作者:

Palo Alto Networks PAN-OS身份认证绕过+远程代码执行漏洞

原创 微步情报局 微步在线研究响应中心 2024-11-21 00:59

漏洞概况

PAN-OS 是 Palo Alto Networks 公司开发的下一代防火墙操作系统,为 Palo Alto Networks 防火墙提供安全功能和集中管理能力。

微步情报局近日捕获到Palo Alto Networks PanOS身份认证绕过漏洞情报(CVE-2024-0012,https://x.threatbook.com/v5/vul/XVE-2024-0659)和Palo Alto Networks PanOS 远程代码执行漏洞情报(CVE-2024-9474,https://x.threatbook.com/v5/vul/XVE-2024-33390)。

CVE-2024-0012
漏洞可绕过身份认证,访问后台接口。

CVE-2024-9474
漏洞可在身份认证后,实现命令注入。

二者形成结合利用链,即可实现未授权条件下的前台远程命令执行漏洞,利用难度较低。CISA(
https://www.cisa.gov/known-exploited-vulnerabilities-catalog) 和 Palo Alto官方(
https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/)称已观察到上述漏洞的利用行为,建议受影响的用户尽快修复

漏洞处置优先级(VPT)

综合处置优先级:高

基本信息

微步编号

 XVE-2024-0659

XVE-2024-33390
漏洞类型

身份认证绕过

远程命令执行

利用条件评估

利用漏洞的网络条件

 远程

是否需要绕过安全机制

 不需要

对被攻击系统的要求

 默认配置

利用漏洞的权限要求

 无需任何权限

是否需要受害者配合

 不需要

利用情报

POC是否公开
已知利用行为

漏洞影响范围

产品名称

 Palo Alto Networks – PAN-OS

受影响版本

CVE-2024-0012漏洞影响范围:

10.2.0 ≤ version < 10.2.12

11.0.0 ≤ version < 11.0.6

11.1.0 ≤ version < 11.1.5

11.2.0 ≤ version < 11.2.4

CVE-2024-9474漏洞影响范围:

10.1.0 ≤ version < 10.1.14

10.2.0 ≤ version < 10.2.12

11.0.0 ≤ version < 11.0.6

11.1.0 ≤ version < 11.1.5

11.2.0 ≤ version < 11.2.4


注意:两个漏洞的影响范围并不完全一致,10.1.x版本存在认证后命令注入漏洞,但不存在认证绕过,无法实现前台rce

有无修复补丁

前往X情报社区资产测绘查看影响资产详情:

https://x.threatbook.com/v5/survey?q=app%3D%22Palo%20Alto%20Networks%20PAN-OS%20Firewall%22

漏洞复现

绕过身份认证并实现远程命令执行:

修复方案

官方修复方案:

官方已发布漏洞公告,请尽快更新至
PAN-OS 10.1.14-h6、PAN-OS 10.2.12-h2、PAN-OS 11.0.6-h1、PAN-OS 11.1.5-h1、PAN-OS 11.2.4-h1 及所有更高版本的 PAN-OS。

漏洞公告地址:
1. https://security.paloaltonetworks.com/CVE-2024-0012

  1. https://security.paloaltonetworks.com/CVE-2024-9474

临时修复方案:

  • 将对管理接口的访问限制为仅受信任的内部 IP 地址,以防止来自互联网的外部访问。

  • 使用防护类设备进行防护,重点关注和监控Header中带有“X-PAN-AUTHCHECK: off”的请求。

相关攻击IP

9
1.208.197[.]167

104.28.208[.]123

136.144.17[.]146

136.144.17[.]149

136.144.17[.]154

136.144.17[.]158 

136.144.17[.]161

136.144.17[.]164

136.144.17[.]166

136.144.17[.]167

136.144.17[.]170

136.144.17[.]176

136.144.17[.]177

136.144.17[.]178

136.144.17[.]180

173.239.218[.]248 

173.239.218[.]251

209.200.246[.]173

209.200.246[.]184

216.73.162[.]69

216.73.162[.]71

216.73.162[.]73

216.73.162[.]74

来源:https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/

微步产品侧支持情况

微步威胁感知平台TDP已于2024年11月20日支持检测,检测ID为
S3100157358、S3100157359,模型/规则高于 
20241120000000 可检出。

  • END –

//  

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务,精准、高效助力企业漏洞运营:
– 提供高价值漏洞情报,具备及时、准确、全面和可操作性,帮助企业高效应对漏洞应急与日常运营难题;

  • 可实现对高威胁漏洞提前掌握,以最快的效率解决信息差问题,缩短漏洞运营MTTR;

  • 提供漏洞完整的技术细节,更贴近用户漏洞处置的落地;

  • 将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合,对漏洞的实际风险进行持续动态更新。

扫码在线沟通


↓↓

点此电话咨询

X漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款
针对未公开
漏洞的奖励计划,我们鼓励白帽子提交挖掘到的0day漏洞,并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力,提升0day防御能力,守护数字世界安全。

活动详情:
https://x.threatbook.com/v5/vulReward