PAN-OS CVE-2024-3400:立即修补您的Palo Alto防火墙
概述
CVE-2024-3400是PAN-OS中的一个严重漏洞,允许通过链式攻击(目录遍历+命令注入)在Palo Alto Networks防火墙的GlobalProtect VPN接口上实现预认证远程代码执行。尽管已发布补丁,但在撰写本文时该漏洞正在被积极利用。Bishop Fox开发了CVE-2024-3400的内部漏洞利用程序,并在公开概念验证发布前通知了我们的客户。尽管Palo Alto Networks提供了在修复前使用的变通方案和缓解措施,但Bishop Fox成功绕过了这些措施。
我们分享有限的缓解措施绕过细节,旨在最大程度地帮助防御者,同时最小程度地帮助机会主义攻击者。
技术细节
该漏洞允许通过将有效负载插入HTTP cookie,将任意命名的文件写入底层文件系统。该有效负载随后通过目录遍历在受控位置作为文件名写入,该文件稍后将由一个cron作业处理,该作业运行包含命令注入漏洞的与遥测相关的脚本。这使得能够以root权限进行带外远程代码执行。需要明确的是,要执行的Bash命令包含在上述文件的名称中,而不是内容中。
变通方案和缓解措施
Palo Alto Networks最初建议在实施修复之前采用两种临时缓解措施来帮助防止漏洞利用:启用威胁防护和禁用设备遥测。这些缓解措施中的每一种都针对链中的单个步骤:威胁防护试图阻止包含目录遍历序列的恶意请求,而禁用设备遥测可防止利用现已公开的命令注入有效负载。
我们开发了针对两种建议的临时缓解措施的绕过方法。我们能够成功规避威胁防护签名,并且我们发现了一个新的命令注入漏洞,即使设备遥测被禁用也可利用。我们报告了这些发现,随后Palo Alto Networks更新了公告,指出禁用设备遥测不是足够的修复措施,并发布了针对这些签名绕过的新威胁防护规则。我们认为最新的威胁防护规则集(TID 95187、95189和95191)在应用补丁之前是一种有效的缓解措施。也就是说,我们观察到多个错误配置阻止了这些规则的工作,因此我们强烈建议测试这些规则。
您可以通过观察以下安全HTTP请求的响应来测试威胁防护规则是否正常工作:
|
|
在正确配置威胁防护规则的系统上,上述命令将显示“连接重置”消息。在配置错误的系统上,该命令将返回HTML响应。
我们已经验证了应用热修复补丁的建议解决方案足以修复CVE-2024-3400。该补丁为会话cookie添加了严格验证,这足以阻止初始漏洞利用向量。
因此,我们建议按有效性顺序采取以下修复步骤之一:
- 应用补丁。
- 启用签名ID为95187、95189和95191的威胁检测。
- 在应用补丁之前将GlobalProtect接口下线。
- 应用额外的IPS规则,阻止在HTTP Cookie标头中的任何位置包含目录遍历序列(“../”)的对GlobalProtect接口的请求。