概述
CVE-2024-3400是PAN-OS系统中的高危漏洞,攻击者可通过GlobalProtect VPN接口利用目录遍历+命令注入的组合攻击链,实现预认证远程代码执行。尽管补丁已发布,但该漏洞目前已被野外利用。Bishop Fox在公开漏洞验证程序(PoC)发布前就开发了内部利用程序并通知了客户。值得注意的是,我们成功绕过了Palo Alto Networks提供的临时缓解措施。
技术细节
该漏洞允许通过HTTP cookie注入有效载荷,将其作为文件名写入受控位置(通过目录遍历实现)。后续该文件会被包含命令注入漏洞的遥测脚本通过cron作业处理,最终实现root权限的带外远程代码执行。需特别说明的是,Bash命令被包含在上述文件的文件名而非文件内容中。
缓解措施绕过
Palo Alto Networks最初建议两种临时缓解措施:启用威胁防护和禁用设备遥测功能。我们成功绕过了这两种措施:
- 通过特定技术规避了威胁防护的签名检测
- 发现了新的命令注入漏洞(在遥测功能禁用时仍可被利用)
最新版的威胁防护规则(TIDs 95187/95189/95191)是有效的临时解决方案,但我们发现多起因配置错误导致规则失效的案例。可通过以下安全HTTP请求测试规则是否生效:
|
|
配置正确的系统会返回"connection reset",错误配置则会返回HTML响应。
修复建议
按有效性排序的修复方案:
- 立即安装补丁(新增了对会话cookie的严格验证)
- 启用威胁防护规则95187/95189/95191
- 临时下线GlobalProtect接口
- 部署额外IPS规则拦截HTTP Cookie头中包含"../“的请求