Alert GCSA-24057 - Vulnerabilita' critica in Palo Alto Networks PAN-OS

-----BEGIN PGP SIGNED MESSAGE-----
Hash: SHA256

******************************************************************

alert ID: GCSA-24057
data: 12 aprile 2024
titolo: Vulnerabilita' critica in Palo Alto Networks PAN-OS

******************************************************************

:: Descrizione del problema

Palo Alto Networks ha rilasciato degli aggiornamenti per risolvere
otto bug di sicurezza nel software PAN-OS, tra cui una vulnerabilita' critica:

CVE-2024-3400, CVSSv4.0 Base Score: 10
Reference PAN-252214
PAN-OS: OS Command Injection Vulnerability in GlobalProtect Gateway
https://security.paloaltonetworks.com/CVE-2024-3400

Tale vulnerabilita' risulta essere in corso di sfruttamento.

Il problema riguarda solo i firewall PAN-OS 10.2, 11.0 e 11.1
con le configurazioni abilitate sia per il gateway GlobalProtect
che per la telemetria del dispositivo.

Per la CVE-2024-3400, il vendor comunica che gli aggiornamenti sono in fase di sviluppo
e che verranno rilasciati entro il 14 aprile 2024. In attesa di tale rilascio,
si raccomanda l'applicazione delle mitigazioni indicate nel bollettino.

Maggiori informazioni sono disponibili alla sezione "Riferimenti".


:: Software interessato

PAN-OS 8.1 versioni precedenti alla 8.1.26
PAN-OS 9.0 versioni precedenti alla 9.0.17-h4
PAN-OS 9.1 versioni precedenti alla 9.1.17
PAN-OS 10.0 versioni precedenti alla 10.0.13
PAN-OS 10.1 versioni precedenti alla 10.1.12
PAN-OS 10.2 versioni precedenti alla 10.2.9-h1
PAN-OS 11.0 versioni precedenti alla 11.0.4-h1
PAN-OS 11.1 versioni precedenti alla 11.1.2-h3

Prisma Access versioni precedenti alla 10.2.4


:: Impatto

Esecuzione remota di comandi o codice arbitrario (RCE)
Rivelazione di informazioni (ID)
Denial of Service (DoS)
Bypass delle funzionalita' di sicurezza (SFB)


:: Soluzioni

Applicare gli aggiornamenti appena possibile.

Per mitigare la CVE-2024-3400, oltre ad abilitare il Threat ID 95187, i customer devono garantire
che sia stata applicata la protezione dalle vulnerabilita' alla loro GlobalProtect interface
per impedire lo sfruttamento di questo problema sui dispositivi.
Per ulteriori informazioni, consultare la pagina
https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184

Se non e' possibile applicare la Threat Prevention based mitigation e' comunque possibile
mitigare l'impatto della vulnerabilita' disabilitando temporaneamente la telemetria
fino a quando non sara' disponible l'aggiornamento.

Per informazioni su come disattivare la telemetria, consultare la seguente pagina:
https://docs.paloaltonetworks.com/pan-os/11-0/pan-os-admin/device-telemetry/device-telemetry-configure/device-telemetry-disable


:: Riferimenti

Palo Alto Networks Security Advisories
https://security.paloaltonetworks.com/
https://security.paloaltonetworks.com/CVE-2024-3400
https://security.paloaltonetworks.com/CVE-2024-3383
https://security.paloaltonetworks.com/CVE-2024-3385
https://security.paloaltonetworks.com/CVE-2024-3384
https://security.paloaltonetworks.com/CVE-2024-3382
https://security.paloaltonetworks.com/CVE-2024-3386
https://security.paloaltonetworks.com/CVE-2024-3387
https://security.paloaltonetworks.com/CVE-2024-3388

SecurityWeek
https://www.securityweek.com/palo-alto-networks-patches-vulnerabilities-allowing-firewall-disruption/
https://www.securityweek.com/palo-alto-networks-warns-of-exploited-firewall-vulnerability/

The Hacker News
https://thehackernews.com/2024/04/zero-day-alert-critical-palo-alto.html

Bleeping Computer
https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-pan-os-firewall-zero-day-used-in-attacks/

Mitre CVE
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3400
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3383
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3385
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3384
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3382
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3386
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3387
https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2024-3388


GARR CERT Security Alert - subscribe/unsubscribe:
http://www.cert.garr.it/alert/ricevi-gli-alert-di-cert
-----BEGIN PGP SIGNATURE-----

iGsEAREIACsWIQTGpdiR5MqstacBGHbBnEyTZRJgQgUCZhlakg0cY2VydEBnYXJy
Lml0AAoJEMGcTJNlEmBCkPwAn17x+dk1xdveq5Q9KGBQV8smd6HsAKDOrTfa8y26
LOYidd1G2zFlahGGCw==
=zaJK
-----END PGP SIGNATURE-----