Palo Alto Networks PAN-OS身份验证绕过CVE-2024-0012
Palo Alto Networks是一家全球知名网络安全厂商,Palo Alto Networks PAN-OS GlobalProtect 是Palo Alto Networks 的一款防火墙产品。
PAN-OS是Palo Alto Networks为其防火墙和企业VPN设备开发的操作系统,提供丰富防火墙、管理和网络功能,广泛用于企业网络环境。
一、基本情况
PAN-OS提供防火墙、VPN和身份验证和管理,后者用于支持多种身份验证,包括SAML(安全声明标记语言)和MFA(多重身份验证)。
VPN功能用于支持企业内部的远程访问和安全的数据传输;防火墙功能用于提供强大的网络访问控制,保护企业安全资产免受外部攻击。
栋科技关注到官方近期披露一个Palo Alto Networks PAN-OS Management 管理端权限绕过漏洞CVE-2024-0012和CVE-2024-9474漏洞。
二、漏洞分析
CVE-2024-0012:Palo Alto Networks PAN-OS身份验证绕过漏洞
Palo Alto Networks 近期披露Palo Alto Networks PAN-OS中存在的一个身份验证绕过漏洞,漏洞追踪为CVE-2024-0012,CVSS评分9.3。
该漏洞可能导致未经身份验证的攻击者通过网络访问管理Web界面,从而获得PAN-OS管理员权限,从而可以执行管理操作、篡改配置等。
该漏洞被利用的先决条件是 PAN-OS 管理 Web 界面对外公开,通常情况下,不建议采用这种配置,因此而言满足此条件的系统可能不多。
但实际上,许多系统都具有对外暴露的管理接口,并且是在相同条件下安装和运行的,因此建议配备PAN-OS的设备自查正在暴露状态下。
CVE-2024-9474:Palo Alto Networks PAN-OS权限提升漏洞
Palo Alto Networks PAN-OS软件中的权限提升漏洞,追踪为CVE-2024-9474,CVSS评分6.9,可能导致在防火墙上以 root 权限执行操作。
可能导致具有管理Web 界面访问权限的PAN-OS管理员以root权限对防火墙执行恶意操作,一旦成功利用,攻击者可绕过正常的权限检查。
攻击者可以利用此漏洞,通过向受影响的PAN-OS管理界面注入恶意操作系统命令,从而获得更高的权限,从而可以执行任意代码或命令。
这通常涉及向管理接口发送经过精心构造的请求,这些请求可触发底层操作系统的命令执行,值得关注的是,该漏洞已被标记为在野利用。
由于这一漏洞允许攻击者通过基于Web的管理界面进行特权提升,因此可能会对多个PAN产品(包括防火墙和VPN集中器)构成严重威胁。
攻击者可以将Palo Alto Networks PAN-OS Management管理端权限绕过漏洞CVE-2024-0012和权限提升漏洞CVE-2024-9474来结合使用。
基于此,攻击者可通过构造恶意请求绕过身份认证、再提升权限,即可达到执行任意命令、控制服务器的目的,因此结合使用其危害更大。
三、影响范围
CVE-2024-0012
PAN OS 11.2 < 11.2.4-h1
PAN OS 11.1 < 11.1.5-h1
PAN OS 11.0 < 11.0.6-h1
PAN OS 10.2 < 10.2.12-h2
CVE-2024-9474
PAN-OS 11.2 < 11.2.4-h1
PAN-OS 11.1 < 11.1.5-h1
PAN-OS 11.0 < 11.0.6-h1
PAN-OS 10.2 < 10.2.12-h2
PAN-OS 10.1 < 10.1.14-h6
四、修复建议
目前这些漏洞已经修复,受影响用户可升级到以下版本:
CVE-2024-0012
PAN OS 11.2 >= 11.2.4-h1
PAN OS 11.1 >= 11.1.5-h1
PAN OS 11.0 >= 11.0.6-h1
PAN OS 10.2 >= 10.2.12-h2
CVE-2024-9474
PAN-OS 11.2 >= 11.2.4-h1
PAN-OS 11.1 >= 11.1.5-h1
PAN-OS 11.0 >= 11.0.6-h1
PAN-OS 10.2 >= 10.2.12-h2
PAN-OS 10.1 >= 10.1.14-h6
五、参考链接
https://security.paloaltonetworks.com/CVE-2024-0012
https://security.paloaltonetworks.com/CVE-2024-9474