VNG Cloud Logo
  1. CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)

CVE-2024-0012 PAN-OS: Authentication Bypass in the Management Web Interface (PAN-SA-2024-0015)

VSS-BT: 9.3 / CVSS-B: 9.3
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N/E:A/AU:N/R:U/V:C/RE:H/U:Red 
Mô tả: 
Palo Alto Networks đã giám sát và phát hiện một số hoạt động hoạt động tấn công khai thác lỗ hổng thực thi lệnh từ xa không cần xác thực (remote command execution) nhằm vào một số lượng hạn chế các giao diện quản lý tường lửa (management interfaces) được mở ra trên Internet.

Khuyến nghị: 
Chúng tôi khuyến nghị khách hàng đảm bảo rằng quyền truy cập vào giao diện quản lý được cấu hình đúng theo hướng dẫn triển khai thực hành tốt nhất mà Palo Alto Networks đề xuất. Bên cạnh đó mọi người nên rằng quyền truy cập vào giao diện quản trị chỉ được phép từ các IP nội bộ, không cho phép đi từ Internet.

Kiểm tra ảnh hưởng: 
Đối với khách hang có quyền truy cập vào giao diện quản lý, thực hiện theo các bước sau:

  • Để tìm các tài sản (assets) bị ảnh hưởng, truy cập vào mục Assets trong Customer Support Portal. (Products → Assets → All Assets → Remediation Required). 
  • Danh sách các thiết bị của bạn bị ảnh hưởng sẽ được Palo Alto scans và gắn thẻ PAN-SA-2024-0015. Nếu không có thiết bị nào được liệt kê thì thiết bị scan của Palo Alto không tìm thiết bị nào có Management Interfaces hướng ra internet trong tài khoản của bạn.
     

Phiên bản bị ảnh hưởng: 
 

Versions 

Affected 

Unaffected 

Cloud NGFW 

None 

All 

PAN-OS 11.2 

< 11.2.4-h1 

>= 11.2.4-h1 

PAN-OS 11.1 

< 11.1.5-h1 

>= 11.1.5-h1 

PAN-OS 11.0 

< 11.0.6-h1 

>= 11.0.6-h1 

PAN-OS 10.2 

< 10.2.12-h2 

>= 10.2.12-h2 

PAN-OS 10.1 

None 

All 

Prisma Access 

None 

All 

Giải pháp: 

  • Hiện tại, hành động tốt nhất là bảo mật quyền truy cập vào giao diện quản lý 
  • Cập nhật lên các phiên bản mới nhất đã được vá lỗi  bao gồm PAN-OS 10.2.12-h2, PAN-OS 11.0.6-h1, PAN-OS 11.1.5-h1, PAN-OS 11.2.4-h1, và tât cả PAN-OS phiên bản mới nhất. 


Một số phiên bản được sử dụng phổ biến đã được cập nhật:

PAN-OS 11.2 fixes:

  • 11.2.0-h1
  • 11.2.1-h1
  • 11.2.2-h2
  • 11.2.3-h3
  • 11.2.4-h1

PAN-OS 11.1 fixes:

  • 11.1.0-h4
  • 11.1.1-h2
  • 11.1.2-h15
  • 11.1.3-h11
  • 11.1.4-h7
  • 11.1.5-h1

PAN-OS 11.0 fixes:

  • 11.0.0-h4
  • 11.0.1-h5
  • 11.0.2-h5
  • 11.0.3-h13
  • 11.0.4-h6
  • 11.0.5-h2
  • 11.0.6-h1

PAN-OS 10.2 fixes:

  • 10.2.0-h4
  • 10.2.1-h3
  • 10.2.2-h6
  • 10.2.3-h14
  • 10.2.4-h32
  • 10.2.5-h9
  • 10.2.6-h6
  • 10.2.7-h18
  • 10.2.8-h15
  • 10.2.9-h16
  • 10.2.10-h9
  • 10.2.11-h6
  • 10.2.12-h2

Một số IP đáng ngờ: 
Palo Alto Networks đã giám sát và phạt hiện thấy các hoạt động tấn công tới giao diện quản lý PAN-OS trên internet từ một số IP sau:

  • 136.144.17[.]*
  • 173.239.218[.]251
  • 216.73.162[.]*

Khách hàng có thể giám sát lưu lượng mạng truy cập tới management interfaces trên internet từ các IP trên (Lưu ý IP trên có thể là VPN)

Tham khảo: 

  • https://security.paloaltonetworks.com/PAN-SA-2024-0015 
  • https://www.cisa.gov/news-events/alerts/2024/11/13/palo-alto-networks-emphasizes-hardening-guidance 
  • https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431