概述
CVE-2024-3400是PAN-OS系统中的高危漏洞,攻击者可通过GlobalProtect VPN接口利用目录遍历+命令注入的组合攻击链,实现预认证远程代码执行。尽管补丁已发布,该漏洞目前仍存在野外利用。Bishop Fox在公开漏洞验证程序(PoC)发布前已开发出内部利用代码并通知客户。值得注意的是,Palo Alto Networks提供的临时缓解措施(启用威胁防护和禁用设备遥测)均被Bishop Fox成功绕过。
技术细节
该漏洞允许通过HTTP Cookie注入载荷,将任意名称文件写入底层文件系统。通过目录遍历技术,攻击者可控制文件写入位置。后续由定时任务执行的遥测脚本存在命令注入漏洞,最终实现root权限的带外远程代码执行。需特别说明的是,Bash命令被包含在文件名而非文件内容中。
缓解措施绕过
Palo Alto Networks最初建议两种临时缓解方案:
- 启用威胁防护(阻断包含目录遍历序列的恶意请求)
- 禁用设备遥测(阻止公开的命令注入载荷利用)
Bishop Fox成功开发了两种绕过技术:可规避威胁防护签名检测,并发现新的命令注入漏洞(在遥测功能禁用时仍可触发)。Palo Alto Networks随后更新公告,确认禁用遥测并非有效修复方案,并发布了新的威胁防护规则(TIDs 95187/95189/95191)。测试表明最新规则在补丁应用前是有效缓解措施,但需注意多重配置错误可能导致规则失效。
测试威胁防护规则是否生效的方法:
|
|
- 规则生效时返回"connection reset"
- 配置错误时返回HTML响应
修复建议
按有效性降序推荐修复方案:
- 立即应用补丁(新增会话Cookie严格验证机制)
- 启用威胁防护签名ID 95187/95189/95191
- 在补丁应用前下线GlobalProtect接口
- 部署额外IPS规则阻断HTTP Cookie头部包含"../“序列的请求