Palo Alto Networks PAN-OS身份认证绕过+远程代码执行漏洞

admin 2024年11月21日10:43:03评论15 views字数 2011阅读6分42秒阅读模式

 

漏洞概况
PAN-OS 是 Palo Alto Networks 公司开发的下一代防火墙操作系统,为 Palo Alto Networks 防火墙提供安全功能和集中管理能力。

微步情报局近日捕获到Palo Alto Networks PanOS身份认证绕过漏洞情报(CVE-2024-0012,https://x.threatbook.com/v5/vul/XVE-2024-0659)和Palo Alto Networks PanOS 远程代码执行漏洞情报(CVE-2024-9474,https://x.threatbook.com/v5/vul/XVE-2024-33390)。

CVE-2024-0012 漏洞可绕过身份认证,访问后台接口。

CVE-2024-9474 漏洞可在身份认证后,实现命令注入。

二者形成结合利用链,即可实现未授权条件下的前台远程命令执行漏洞,利用难度较低。CISA(https://www.cisa.gov/known-exploited-vulnerabilities-catalog) 和 Palo Alto官方(https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/)称已观察到上述漏洞的利用行为,建议受影响的用户尽快修复。

漏洞处置优先级(VPT)

综合处置优先级:高

基本信息 微步编号 XVE-2024-0659

XVE-2024-33390

漏洞类型 身份认证绕过

远程命令执行

利用条件评估 利用漏洞的网络条件 远程
是否需要绕过安全机制 不需要
对被攻击系统的要求 默认配置
利用漏洞的权限要求 无需任何权限
是否需要受害者配合 不需要
利用情报 POC是否公开
已知利用行为
漏洞影响范围
产品名称 Palo Alto Networks - PAN-OS
受影响版本 CVE-2024-0012漏洞影响范围:

10.2.0 ≤ version < 10.2.12

11.0.0 ≤ version < 11.0.6

11.1.0 ≤ version < 11.1.5

11.2.0 ≤ version < 11.2.4

CVE-2024-9474漏洞影响范围:

10.1.0 ≤ version < 10.1.14

10.2.0 ≤ version < 10.2.12

11.0.0 ≤ version < 11.0.6

11.1.0 ≤ version < 11.1.5

11.2.0 ≤ version < 11.2.4

注意:两个漏洞的影响范围并不完全一致,10.1.x版本存在认证后命令注入漏洞,但不存在认证绕过,无法实现前台rce

有无修复补丁
前往X情报社区资产测绘查看影响资产详情:

https://x.threatbook.com/v5/survey?q=app%3D%22Palo%20Alto%20Networks%20PAN-OS%20Firewall%22

漏洞复现

绕过身份认证并实现远程命令执行:

Palo Alto Networks PAN-OS身份认证绕过+远程代码执行漏洞
Palo Alto Networks PAN-OS身份认证绕过+远程代码执行漏洞

修复方案

官方修复方案:

官方已发布漏洞公告,请尽快更新至PAN-OS 10.1.14-h6、PAN-OS 10.2.12-h2、PAN-OS 11.0.6-h1、PAN-OS 11.1.5-h1、PAN-OS 11.2.4-h1 及所有更高版本的 PAN-OS。
漏洞公告地址:
  1. https://security.paloaltonetworks.com/CVE-2024-0012
  2. https://security.paloaltonetworks.com/CVE-2024-9474

临时修复方案:

  • 将对管理接口的访问限制为仅受信任的内部 IP 地址,以防止来自互联网的外部访问。
  • 使用防护类设备进行防护,重点关注和监控Header中带有“X-PAN-AUTHCHECK: off”的请求。
相关攻击IP
91.208.197[.]167

104.28.208[.]123

136.144.17[.]146

136.144.17[.]149

136.144.17[.]154

136.144.17[.]158

136.144.17[.]161

136.144.17[.]164

136.144.17[.]166

136.144.17[.]167

136.144.17[.]170

136.144.17[.]176

136.144.17[.]177

136.144.17[.]178

136.144.17[.]180

173.239.218[.]248

173.239.218[.]251

209.200.246[.]173

209.200.246[.]184

216.73.162[.]69

216.73.162[.]71

216.73.162[.]73

216.73.162[.]74

来源:https://unit42.paloaltonetworks.com/cve-2024-0012-cve-2024-9474/
 

原文始发于微信公众号(微步在线研究响应中心):Palo Alto Networks PAN-OS身份认证绕过+远程代码执行漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月21日10:43:03
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Palo Alto Networks PAN-OS身份认证绕过+远程代码执行漏洞https://cn-sec.com/archives/3419155.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息