[Cập nhật] Lỗ hổng zero-day 10 điểm trong hệ điều hành tường lửa PAN-OS

[WhiteHat Team]

Cập nhật: ​

Công ty an ninh mạng Palo Alto Networks đã chia sẻ thêm thông tin chi tiết về lỗ hổng nghiêm trọng ảnh hưởng đến PAN-OS.

Lỗ hổng CVE-2024-3400 được tìm thấy trong các phiên bản mới hơn của phần mềm PAN-OS chạy trên các sản phẩm tường lửa GlobalProtect của Palo Alto, cho phép tin tặc giành quyền kiểm soát hoàn toàn tường lửa bị ảnh hưởng qua Internet mà không cần xác thực.

Đáng chú ý, lỗ hổng này là sự kết hợp giữa hai lỗi trong các phiên bản PAN-OS 10.2, PAN-OS 11.0 và PAN-OS 11.1 của phần mềm nhưng hậu quả có thể nghiêm trọng là cho phép thực thi lệnh shell từ xa không xác thực.

Lỗi thứ nhất là dịch vụ GlobalProtect không xác thực đầy đủ định dạng ID phiên trước khi lưu trữ cho phép kẻ tấn công lưu trữ một tệp trống với tên tệp do chúng chọn. Lỗi thứ hai giả định rằng các tệp tin đó được tạo ra bởi hệ thống và không kiểm tra tính hợp lệ. Nghĩa là kẻ tấn công có thể sử dụng tên tệp tin này như một phần của một lệnh (command) và hệ thống sẽ thực thi lệnh đó mà không kiểm tra tính xác thực.

Palo Alto Networks cho biết nhóm tấn công đứng sau khai thác lỗ hổng zero-day CVE-2024-3400 có tên UTA0218 nhằm tạo backdoor và truy cập sâu hơn vào mạng của nạn nhân. Hoạt động này đang được theo dõi dưới tên Operation MidnightEclipse gồm 2 giai đoạn:

• Ở giai đoạn 1, kẻ tấn công gửi lệnh shell được tạo thay vì ID phiên hợp lệ tới GlobalProtect. Về cơ bản, đây là cách kẻ tấn công lợi dụng lỗ hổng để "đặt" một lệnh độc hại vào tên tệp tin trống.
• Ở giai đoạn 2, một đầu việc hệ thống định kỳ, có thể là một tác vụ được lên lịch trước đó, sử dụng tên tệp tin do kẻ tấn công cung cấp trong một lệnh. Khi công việc này được kích hoạt theo lịch trình, nó sẽ thực thi lệnh được cung cấp bởi kẻ tấn công, lệnh này đã được "nhúng" vào tên tệp tin trống ở giai đoạn 1. Và khi công việc này chạy, hệ thống sẽ thực thi lệnh đó với đặc quyền cao hơn, dẫn đến các hậu quả nghiêm trọng như kiểm soát hoặc phá hủy hệ thống.

Ban đầu, việc kích hoạt tính năng dữ liệu thiết bị (device telemetry) có thể tạo điều kiện cho lỗ hổng được khai thác, nhưng sau đó Palo Alto Networks đã phủ nhận điều này.

Công ty đã cập nhật thêm các bản vá và người dùng nên thực hiện càng sớm càng tốt để bảo vệ khỏi các rủi ro an ninh mạng

• PAN-OS 10.2.9-h1
• PAN-OS 10.2.8-h3
• PAN-OS 10.2.7-h8
• PAN-OS 10.2.6-h3
• PAN-OS 10.2.5-h6
• PAN-OS 10.2.4-h16
• PAN-OS 10.2.3-h13
• PAN-OS 10.2.2-h5
• PAN-OS 10.2.1-h2
• PAN-OS 10.2.0-h3
• PAN-OS 11.0.4-h1
• PAN-OS 11.0.4-h2
• PAN-OS 11.0.3-h10
• PAN-OS 11.0.2-h4
• PAN-OS 11.0.1-h4
• PAN-OS 11.0.0-h3
• PAN-OS 11.1.2-h3
• PAN-OS 11.1.1-h1
• PAN-OS 11.1.0-h3

---

Công ty an ninh mạng Palo Alto Networks chuyên cung cấp giải pháp tường lửa vừa công bố một lỗ hổng zero-day nghiêm trọng với mã định danh CVE-2024-3400, điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với quyền root mà không cần xác thực.

​

Lỗ hổng ảnh hưởng đến các phiên bản PAN-OS sau:

• PAN-OS 10.2.9-h1
• PAN-OS 11.0.4-h1
• PAN-OS 11.1.2-h3

Ngoài ra, lỗ hổng chỉ xảy ra trên các thiết bị tường lửa đã cấu hình với cả cổng Gateway GlobalProtect (Network > GlobalProtect > Gateways) và dịch vụ giám sát thiết bị (Device > Setup > Telemetry) được bật.

Đáng chú ý, Palo Alto Networks đã xác nhận có một số cuộc tấn công đang khai thác lỗ hổng CVE-2024-3400 trên thực tế. Vì vậy, người dùng cần:

• Cập nhật bản vá mới nhất, dự kiến phát hành vào ngày 14 tháng 4 năm 2024.
• Trong thời gian chờ bản vá chính thức, người dùng có thể kiểm tra và tắt tính năng giám sát trên các thiết bị tường lửa của Palo Alto hoặc đăng ký mã Threat ID 95187 để giảm thiểu rủi ro an ninh mạng.

Theo The Hacker News​