【已复现】Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞复现

原创 微步情报局 微步在线研究响应中心 2024-04-17 18:59

漏洞概况

Palo Alto Networks PAN-OS是一套专为其下一代防火墙 (NGFW) 产品开发的操作系统，提供了全面的网络安全功能，包括威胁防护，网络分段，远程访问等；GlobalProtect是Palo Alto Networks一套远程访问 VPN 解决方案，集成于PAN-OS系统中。

微步漏洞团队近日获取到 GlobalProtect 命令注入漏洞 (https://x.threatbook.com/v5/vul/XVE-2024-7807) 情报。未经身份验证的攻击者可以利用该漏洞
以ROOT权限执行任意命令
。

该漏洞于4月10日发现在野利用行为，经研判，该漏洞利用难度低，影响范围较广，建议尽快修复
。

漏洞处置优先级(VPT)

综合处置优先级：高

基本信息	微步编号	XVE-2024-7807
	漏洞类型	命令注入
利用条件评估	利用漏洞的网络条件	远程
	是否需要绕过安全机制	不需要
	对被攻击系统的要求	需配置GlobalProctect功能
	利用漏洞的权限要求	无需任何权限
	是否需要受害者配合	不需要
利用情报	POC是否公开	是
	微步已捕获攻击行为	是

漏洞影响范围

产品名称	Palo Alto Networks PAN-OS
受影响版本	version < 11.0.4-h1 version < 10.2.9-h1 version < 10.2.8-h3 version < 10.2.7-h8 version < 10.2.6-h3 version < 11.1.0-h3 version < 11.1.2-h3 version < 11.0.2-h4 version < 11.0.3-h10
影响范围	十万级
有无修复补丁	有

前往X情报社区资产测绘查看影响资产详情：

https://x.threatbook.com/v5/survey?q=app%3D%22PaloAlto-GlobalProtect%22

漏洞复现

漏洞成功利用会在 /opt/panlogs/tmp/device_telemetry/hour/ 和 /opt/panlogs/tmp/device_telemetry/day/ 目录遗留payload文件。

修复方案

官方修复方案：

该漏洞已在 PAN-OS 10.2.9-h1、PAN-OS 11.0.4-h1、PAN-OS 11.1.2-h3 以及更高版本的 PAN-OS 修复。

完整的安全版本和缓解措施可参考：

https://security.paloaltonetworks.com/CVE-2024-3400

临时修复方案：

使用防护类设备对相关资产进行防护，
拦截请求中Cookie字段出现的恶意命令
。

相关IOC

• 172.233.228.93

• 66.235.168.222

• 144.172.79.92

• nhdata.s3-us-west-2.amazonaws.com

微步产品侧支持情况

微步威胁感知平台TDP已支持检测，TDP命令执行攻击规则默认可以检测此漏洞。

微步安全情报网关OneSIG已支持防护，OneSIG命令执行攻击规则默认可以检测此漏洞。

时间线

• 2024.04.12 微步获取该漏洞相关情报

• 2024.04.12
  TDP和OneSIG支持检测和防护

• 2024.04.17 Poc公开

• 2024.04.17 微步发布报告

网安年度盛会 CSOP 2024 · 上海站将于明日（4/18）开幕，期待相见~

• END –

//  

微步漏洞情报订阅服务

微步提供漏洞情报订阅服务，精准、高效助力企业漏洞运营：
– 提供高价值漏洞情报，具备及时、准确、全面和可操作性，帮助企业高效应对漏洞应急与日常运营难题；

• 可实现对高威胁漏洞提前掌握，以最快的效率解决信息差问题，缩短漏洞运营MTTR；

• 提供漏洞完整的技术细节，更贴近用户漏洞处置的落地；

• 将漏洞与威胁事件库、APT组织和黑产团伙攻击大数据、网络空间测绘等结合，对漏洞的实际风险进行持续动态更新。

扫码在线沟通

↓
↓↓

点此电话咨询

X漏洞奖励计划

“X漏洞奖励计划”是微步X情报社区推出的一款
针对未公开
漏洞的奖励计划，我们鼓励白帽子提交挖掘到的0day漏洞，并给予白帽子可观的奖励。我们期望通过该计划与白帽子共同努力，提升0day防御能力，守护数字世界安全。

活动详情：
https://x.threatbook.com/v5/vulReward