CVE-2024-3400
PAN-OS Command injection
Introduction
| Remote | ✅
|
| Authenticated | ❌ |
| Default config | ❌ |
| Source | 🌍 |
Versions concernées
- PAN-OS 11.1 : < 11.1.0-h3, < 11.1.1-h1, < 11.1.2-h3
- PAN-OS 11.0 : < 11.0.2-h4, < 11.0.3-h10, < 11.0.4-h1
- PAN-OS 10.2 : < 10.2.5-h6, < 10.2.6-h3, < 10.2.7-h8, < 10.2.8-h3, < 10.2.9-h1
Détails
En date du 12 avril 2024, la société PaloAlto a publié un bulletin d’alerte concernant le système d’exploitation PAN-OS déployé sur certains de ces équipements. La vulnérabilité, identifiée par la CVE-2024-3400 est considérée comme critique et obtient un score de 10 (le maximum) suivant le système d’évaluation CVSSv3.1. Cette vulnérabilité nécessite que les pares-feux soient configurés en tant que passerelle GlobalProtect ou portail GlobalProtect (ou les deux).
Initialement observée par la société Volexity [1] lors d’une investigation post-incident, la première tentative d’exploitation remonte au 26 Mars 2024. Identifié pour le moment sous l’alias UTA0218, le groupe d’attaquant à l’origine de ces attaques semblait avoir pour objectifs la collecte d’informations et la latéralisation au sein du système d’information.
Parmi les actions, le rapport indique le déploiement d’une porte dérobée nommée UPSTYLE, le téléchargement d’outils afin de faciliter le déplacement sur les différents systèmes, la création de tunnel, l’utilisation de compte du domaine via SMB ou WinRM, ainsi que la tentative de collecte d’information sur le domaine via le fichier NTDS.DIT ou les clés DPAPI.
Comme cela a été plusieurs fois démontré au cours des derniers mois, ce type de vulnérabilité est très rapidement utilisé par les différents acteurs de la menace afin de permettre une exploitation de masse.
La mise en place des corrections est donc extrêmement importante, d’autant plus que différentes preuves de concept ont été mises à disposition du publique.
Détection
La vulnérabilité utilise une faiblesse dans la manière dont est géré le stockage du cookie SESSID, ainsi qu’une erreur de logique permettant de provoquer une exécution de code arbitraire à distance.
Ainsi, cette vulnérabilité est extrêmement simple d’exploitation. Une analyse complète de la vulnérabilité a été publiée par la société watchtowr [2], habituée des analyses de vulnérabilités d’exécution de code à distance sur les équipements de sécurité.
Actuellement la solution Aioniq permet la détection de la compromission initiale, ainsi que des communications avec la porte dérobée grâce à des règles des règles spécifiques :
| 2052024 | ET TROJAN Possible UPSTYLE Command Output Retrieval Attempt |
| 2052025 | ET TROJAN Possible UPSTYLE Payload Retrieval Attempt |
| 2052026 | ET TROJAN Possible UPSTYLE Command Attempt |
| 2052122 | ET WEB_SPECIFIC_APPS Palo Alto GlobalProtect Session Cookie Command Injection Attempt (CVE-2024-3400) |
De plus, d’après le rapport publié sur cette vulnérabilité, différents signaux faibles peuvent être détectés comme l’utilisation de wget (sid: 2002822), l’utilisation de winRM (sid: 2026850) ou encore des requêtes à destination du site worldtimeapi (sid: 2845080)
Enfin concernant la porte dérobée UPSTYLE (sha256 : 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac), celle-ci est détectée par le module Malcore en tant que Exploit/Python.CVE-2024-3400
Correction
L’éditeur a d’ores et déjà publié les correctifs nécessaires. Le détail des versions corrigées étant disponible sur le bulletin d’alerte.
Des threat IDs spécifiques ont été mis à disposition afin de pouvoir bloquer les tentatives d’exploitation le temps d’une mise à jour.
La société PaloAlto insiste cependant sur le fait que la désactivation de la télémétrie n’est pas suffisante en tant que contournement, et invite les personnes concernées par cette vulnérabilité et n’ayant pas la possibilité de mettre à jour les appliances dans un délai raisonnable de suivre avec attention les évolutions de ce bulletin.