Cabecera blog ciberseguridad

CVE-2024-3400: Inyección de comandos no autenticada en PAN-OS

- Unidad S.T.A².R.S

La CVE-2024-3400 afecta al software PAN-OS de Palo Alto Networks

La CVE-2024-3400 afecta al software PAN-OS que se emplea para gestionar la primera capa defensiva de numerosas empresas

Recientemente se ha publicado una vulnerabilidad crítica de inyección de comandos en el software PAN-OS de Palo Alto Networks, que permitiría a un atacante no autenticado ejecutar código arbitrario con privilegios de root en el cortafuegos. La vulnerabilidad, asignada a CVE-2024-3400, tiene una puntuación CVSS de 10.0.

El software PAN-OS es el sistema operativo que se ejecuta en los cortafuegos de nueva generación de Palo Alto Networks, y se encarga de gestionar la primera capa de defensa en múltiples compañías.

La vulnerabilidad solo aplica a las versiones PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1 configurados con GlobalProtect Gateway o GlobalProtect Portal y además la telemetría de los dispositivos debe estar habilitada. Este problema no afecta a los cortafuegos en la nube (Cloud NGFW), los dispositivos Panorama ni Prisma Access.

Características principales de la CVE-2024-3400

A continuación, se detallan las características principales de esta vulnerabilidad.

  • Identificador CVE: CVE-2024-3400
  • Fecha de publicación: 12/04/2024
  • Software Afectado: Palo Alto Networks PAN-OS 10.2, PAN-OS 11.0 y PAN-OS 11.1
  • CVSS Score: CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (10.0 Critical)
  • Versiones afectadas
    • PAN-OS 11.1 < 11.1.2-h3
    • PAN-OS 11.0 < 11.0.4-h1
    • PAN-OS 10.2 < 10.2.7-h8, < 10.2.8-h3, < 10.2.9-h1
  • Requisitos de explotación
    • El software debe tener habilitado GlobalProtect Gateway o GlobalProtect Portal.
    • La telemetría de los dispositivos debe estar habilitada.

Mitigación

La solución principal consiste en actualizar urgentemente el software de PAN-OS a una de las nuevas versiones parcheadas que corrigen esta vulnerabilidad:

PAN-OS 10.2

  • 10.2.9-h1 (Released 4/14/24)
  • 10.2.8-h3 (Released 4/15/24)
  • 10.2.7-h8 (Released 4/15/24)
  • 10.2.6-h3 (ETA: 4/16/24)
  • 10.2.5-h6 (ETA: 4/16/24)
  • 10.2.3-h13 (ETA: 4/17/24)
  • 10.2.1-h2 (ETA: 4/17/24)
  • 10.2.2-h5 (ETA: 4/18/24)
  • 10.2.0-h3 (ETA: 4/18/24)
  • 10.2.4-h16 (ETA: 4/19/24)

PAN-OS 11.0

  • 11.0.4-h1 (Released 4/14/24)
  • 11.0.3-h10 (ETA: 4/16/24)
  • 11.0.2-h4 (ETA: 4/16/24)
  • 11.0.1-h4 (ETA: 4/17/24)
  • 11.0.0-h3 (ETA: 4/18/24)

PAN-OS 11.1

  • 11.1.2-h3 (Released 4/14/24)
  • 11.1.1-h1 (ETA: 4/16/24)
  • 11.1.0-h3 (ETA: 4/17/24)

Palo Alto Networks ha publicado un comunicado con la información oficial y las actualizaciones relativas a esta vulnerabilidad.

Detección de la vulnerabilidad CVE-2024-3400

La presencia de la CVE-2024-3400 puede ser identificada mediante el número de versión.

Como parte de su servicio de vulnerabilidades emergentes, Tarlogic monitoriza de forma proactiva el perímetro de sus clientes para informar, detectar y notificar urgentemente la presencia de esta vulnerabilidad, así como otras amenazas críticas que podrían causar un grave impacto sobre la seguridad de sus activos.

Indicadores de compromiso

Se ha detectado una explotación activa de esta vulnerabilidad, que tras el compromiso instala un backdoor al que se ha llamado UPSTYLE.

Entre muchas otras capas del backdoor, la principal despliega un script de Python llamado update.py, cuya firma SHA-256 es la siguiente:

SHA-265: 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac

Este fichero ha sido descubierto en los diferentes recursos de origen, aunque no se descarta que puedan haber otros:

  • 144.172.79[.]92
  • nhdata.s3-us-west-2.amazonaws[.]com

Referencias

  • https://unit42.paloaltonetworks.com/cve-2024-3400/
  • https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/