CVE-2024-3400

Nome do Software Vulnerável e Versões Afetadas Palo Alto Networks PAN-OS versões 10.2 Palo Alto Networks PAN-OS versões 11.0 Palo Alto Networks PAN-OS versões 11.1

Description Um problema de injeção de comando existe na função GlobalProtect do PAN-OS, resultante da criação arbitrária de arquivos. Isso permite que um invasor remoto não autenticado execute código arbitrário com privilégios de root no firewall. O problema é acionado quando a função GlobalProtect e a telemetria do dispositivo estão habilitadas. A exploração técnica envolve uma vulnerabilidade de path traversal através do cookie SESSID, permitindo que um invasor escreva no diretório /opt/panlogs/tmp/device telemetry/. Subsequentemente, ocorre uma injeção de comando na biblioteca pansys.py, que utiliza a função subprocess.Popen() para executar o curl para transmissão de telemetria via cron. Invasores podem usar o Internal Field Separator (IFS) para contornar restrições de espaço. A exploração no mundo real foi observada em campanhas como a Operation MidnightEclipse, onde invasores implantaram backdoors baseados em Python (UPSTYLE), roubaram dados de configuração e realizaram movimentação lateral usando SMB e WinRM. Estima-se que entre 40.000 e 133.000 dispositivos em todo o mundo possam estar potencialmente afetados.

Recommendations Atualize as versões 10.2, 11.0 e 11.1 do PAN-OS para as versões corrigidas mais recentes. Como mitigação temporária, desabilite a função de telemetria do dispositivo para evitar a cadeia de injeção de comando.