TI - CVE-2024-0012/CVE-2024-9474 - Multiple Critical Palo Alto/PAN-OS Vulnerabilities - 9.3

Beschreibung:

Der Hersteller Palo Alto warnte am 18.November 2024 vor zwei kritischen Sicherheitslücken (CVE-2024-0012/CVE-2024-9474) in Ihrem Produkt PAN-OS. Diese Schwachstellen ermöglichen es einem nicht authentifizierten Angreifer mit Netzwerkzugriff auf das Management Interface, PAN-OS-Administratorrechte zu erlangen, um administrative Aktionen durchzuführen oder die Konfiguration zu manipulieren.

Betroffene Systeme:

CVE-2024-0012: Cloud NGFW None PAN-OS 11.2 < 11.2.4-h1 PAN-OS 11.1 < 11.1.5-h1 PAN-OS 11.0 < 11.0.6-h1 PAN-OS 10.2 < 10.2.12-h2 PAN-OS 10.1 None Prisma Access None CVE-2024-9474: Cloud NGFW None PAN-OS 11.2 < 11.2.4-h1 PAN-OS 11.1 < 11.1.5-h1 PAN-OS 11.0 < 11.0.6-h1 PAN-OS 10.2 < 10.2.12-h2 PAN-OS 10.1 < 10.1.14-h6 Prisma Access None

Behobene Versionen:

CVE-2024-0012: Cloud NGFW All PAN-OS 11.2 >= 11.2.4-h1 PAN-OS 11.1 >= 11.1.5-h1 PAN-OS 11.0 >= 11.0.6-h1 PAN-OS 10.2 >= 10.2.12-h2 PAN-OS 10.1 All Prisma Access All CVE-2024-9474: Cloud NGFW All PAN-OS 11.2 >= 11.2.4-h1 PAN-OS 11.1 >= 11.1.5-h1 PAN-OS 11.0 >= 11.0.6-h1 PAN-OS 10.2 >= 10.2.12-h2 PAN-OS 10.1 >= 10.1.14-h6 Prisma Access All

Empfohlene Maßnahmen:

Palo Alto hat Updates veröffentlicht, die die Schwachstelle beheben. Betroffene Systeme sollten dringend auf die oben angeführten Versionen aktualisiert werden. Zusätzlich sollte der Zugriff auf die Management-Interfaces der Firewalls nach Herstellervorgaben abgesichert werden, es sollte also nicht öffentlich über das Internet erreichbar sein. Alle weiteren Maßnahmen entnehmen Sie bitte dem Link unter Weitere Hinweise.

Einschätzung der Bedrohung:

Palo Alto bestätigt in seiner Meldung, dass die CVEs bereits aktiv ausgenutzt werden. Die CISA führt beiden CVEs im "Known exploited vulnerabilities" Katalog, dies bestätigt auch, dass die Schwachstellen schon aktiv ausgenutzt werden. Anhand dieser Faktoren schätzt ACP die Bedrohungslage als hoch ein und Updates sollten mit Priorität umgesetzt werden. Indicator of Compromise Command and Control Infrastructure 136.144.17[.]146 136.144.17[.]149 136.144.17[.]154 136.144.17[.]161 136.144.17[.]164 136.144.17[.]166 136.144.17[.]167 136.144.17[.]170 136.144.17[.]176 136.144.17[.]177 136.144.17[.]178 136.144.17[.]180 173.239.218[.]251 209.200.246[.]173 209.200.246[.]184 216.73.162[.]69 216.73.162[.]71 216.73.162[.]73 216.73.162[.]74 Post-Exploitation Payloads SHA256 Context 3C5F9034C86CB1952AA5BB07B4F77CE7D 8BB5CC9FE5C029A32C72ADC7E814668 PHP webshell payload dropped on a compromised firewall

Weiterführende Informationen:

https://security.paloaltonetworks.com/CVE-2024-0012 https://security.paloaltonetworks.com/CVE-2024-9474 https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431