VSS-BT: 9.3 / CVSS-B: 9.3
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N/E:A/AU:N/R:U/V:C/RE:H/U:Red
Mô tả:
Palo Alto Networks đã giám sát và phát hiện một số hoạt động hoạt động tấn công khai thác lỗ hổng thực thi lệnh từ xa không cần xác thực (remote command execution) nhằm vào một số lượng hạn chế các giao diện quản lý tường lửa (management interfaces) được mở ra trên Internet.

Khuyến nghị:
Chúng tôi khuyến nghị khách hàng đảm bảo rằng quyền truy cập vào giao diện quản lý được cấu hình đúng theo hướng dẫn triển khai thực hành tốt nhất mà Palo Alto Networks đề xuất. Bên cạnh đó mọi người nên rằng quyền truy cập vào giao diện quản trị chỉ được phép từ các IP nội bộ, không cho phép đi từ Internet.

Kiểm tra ảnh hưởng:
Đối với khách hang có quyền truy cập vào giao diện quản lý, thực hiện theo các bước sau:

Để tìm các tài sản (assets) bị ảnh hưởng, truy cập vào mục Assets trong Customer Support Portal. (Products → Assets → All Assets → Remediation Required).
Danh sách các thiết bị của bạn bị ảnh hưởng sẽ được Palo Alto scans và gắn thẻ PAN-SA-2024-0015. Nếu không có thiết bị nào được liệt kê thì thiết bị scan của Palo Alto không tìm thiết bị nào có Management Interfaces hướng ra internet trong tài khoản của bạn.

Phiên bản bị ảnh hưởng:

Versions	Affected	Unaffected
Cloud NGFW	None	All
PAN-OS 11.2	< 11.2.4-h1	>= 11.2.4-h1
PAN-OS 11.1	< 11.1.5-h1	>= 11.1.5-h1
PAN-OS 11.0	< 11.0.6-h1	>= 11.0.6-h1
PAN-OS 10.2	< 10.2.12-h2	>= 10.2.12-h2
PAN-OS 10.1	None	All
Prisma Access	None	All

Giải pháp:

Hiện tại, hành động tốt nhất là bảo mật quyền truy cập vào giao diện quản lý
Cập nhật lên các phiên bản mới nhất đã được vá lỗi bao gồm PAN-OS 10.2.12-h2, PAN-OS 11.0.6-h1, PAN-OS 11.1.5-h1, PAN-OS 11.2.4-h1, và tât cả PAN-OS phiên bản mới nhất.

Một số phiên bản được sử dụng phổ biến đã được cập nhật:

PAN-OS 11.2 fixes:

11.2.0-h1
11.2.1-h1
11.2.2-h2
11.2.3-h3
11.2.4-h1

PAN-OS 11.1 fixes:

11.1.0-h4
11.1.1-h2
11.1.2-h15
11.1.3-h11
11.1.4-h7
11.1.5-h1

PAN-OS 11.0 fixes:

11.0.0-h4
11.0.1-h5
11.0.2-h5
11.0.3-h13
11.0.4-h6
11.0.5-h2
11.0.6-h1

PAN-OS 10.2 fixes:

10.2.0-h4
10.2.1-h3
10.2.2-h6
10.2.3-h14
10.2.4-h32
10.2.5-h9
10.2.6-h6
10.2.7-h18
10.2.8-h15
10.2.9-h16
10.2.10-h9
10.2.11-h6
10.2.12-h2

Một số IP đáng ngờ:
Palo Alto Networks đã giám sát và phạt hiện thấy các hoạt động tấn công tới giao diện quản lý PAN-OS trên internet từ một số IP sau:

136.144.17[.]*
173.239.218[.]251
216.73.162[.]*

Khách hàng có thể giám sát lưu lượng mạng truy cập tới management interfaces trên internet từ các IP trên (Lưu ý IP trên có thể là VPN)

Tham khảo:

https://security.paloaltonetworks.com/PAN-SA-2024-0015
https://www.cisa.gov/news-events/alerts/2024/11/13/palo-alto-networks-emphasizes-hardening-guidance
https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431