Podatność typu authentication bypass w oprogramowaniu Palo Alto Networks PAN-OS pozwala nieuwierzytelnionemu atakującemu z dostępem sieciowym do interfejsu zarządzania (management web interface) na uzyskanie uprawnień administratora PAN-OS. Podatność jest aktywnie wykorzystywana przez atakujących i figuruje w katalogu CISA KEV.
▸ Pokaż oryginał (EN)
An authentication bypass in Palo Alto Networks PAN-OS software enables an unauthenticated attacker with network access to the management web interface to gain PAN-OS administrator privileges to perform administrative actions, tamper with the configuration, or exploit other authenticated privilege escalation vulnerabilities like CVE-2024-9474 https://security.paloaltonetworks.com/CVE-2024-9474 . The risk of this issue is greatly reduced if you secure access to the management web interface by restricting access to only trusted internal IP addresses according to our recommended best practice deployment guidelines https://live.paloaltonetworks.com/t5/community-blogs/tips-amp-tricks-how-to-secure-the-management-access-of-your-palo/ba-p/464431 . This issue is applicable only to PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1, and PAN-OS 11.2 software. Cloud NGFW and Prisma Access are not impacted by this vulnerability.
Błąd polega na pominięciu mechanizmu uwierzytelniania (CWE-306 — Missing Authentication for Critical Function) w interfejsie webowym zarządzania PAN-OS. Atakujący z dostępem sieciowym do tego interfejsu może bez podawania jakichkolwiek poświadczeń uzyskać pełne uprawnienia administratorskie. Dodatkowo podatność może być łączona z CVE-2024-9474 — luką typu privilege escalation — co umożliwia dalsze podwyższanie uprawnień w systemie. Ryzyko jest znacząco zmniejszone, jeśli dostęp do interfejsu zarządzania jest ograniczony wyłącznie do zaufanych, wewnętrznych adresów IP zgodnie z wytycznymi producenta.
Atakujący może przejąć pełną kontrolę administracyjną nad urządzeniem — wykonywać działania administracyjne, modyfikować konfigurację firewalla oraz wykorzystywać podatności wymagające uwierzytelnienia (np. CVE-2024-9474) do dalszej eskalacji uprawnień.
Należy niezwłocznie zastosować patche dostępne u producenta zgodnie z referencjami (https://security.paloaltonetworks.com/CVE-2024-0012). Jako natychmiastowe obejście należy ograniczyć dostęp do interfejsu zarządzania (management web interface) wyłącznie do zaufanych wewnętrznych adresów IP zgodnie z wytycznymi Palo Alto Networks dotyczącymi bezpiecznego wdrożenia.
Palo Alto Networks PAN-OS w wersjach: 10.2, 11.0, 11.1 oraz 11.2. Produkty Cloud NGFW i Prisma Access nie są podatne.
Podatność jest powiązana z CVE-2024-9474 (privilege escalation) — obie luki mogą być łączone w łańcuch ataku. Producent opublikował szczegółową analizę w ramach Unit 42.
CVSS:4.0/AV:N/AC:L/AT:N/PR:N/UI:N/VC:H/VI:H/VA:H/SC:L/SI:N/SA:N/E:X/CR:X/IR:X/AR:X/MAV:X/MAC:X/MAT:X/MPR:X/MUI:X/MVC:X/MVI:X/MVA:X/MSC:X/MSI:X/MSA:X/S:X/AU:N/R:U/V:C/RE:H/U:RedPalo Alto Networks PAN-OS
OSPaloaltonetworks10.2.010.2.110.2.1010.2.1110.2.1210.2.210.2.310.2.410.2.510.2.610.2.710.2.810.2.911.0.011.0.1+ 16 więcej
CISA KEV — szczegółyi
- Dostawcai
- Palo Alto Networks ↗
- Produkti
- PAN-OS
- Data dodania do KEVi
- 18 listopada 2024
- Termin remediation (USA)i
- 9 grudnia 2024(po terminie)
- Ransomwarei
- Aktywne kampanie ransomware używają tej podatności
Zastosuj mitygacje zgodnie z instrukcjami producenta lub zaprzestań używania produktu, jeśli mitygacje są niedostępne. Dodatkowo interfejs zarządzania urządzeniami będących przedmiotem podatności nie powinien być dostępny dla niezaufanych sieci, w tym internetu.
▸ Pokaż oryginał (EN)
Apply mitigations per vendor instructions or discontinue use of the product if mitigations are unavailable. Additionally, management interface for affected devices should not be exposed to untrusted networks, including the internet.
Palo Alto Networks PAN-OS zawiera lukę authentication bypass w interfejsie zarządzania opartym na sieci web dla kilku produktów PAN-OS, w tym zapór sieciowych i koncentratorów VPN.
▸ Pokaż oryginał (EN)
Palo Alto Networks PAN-OS contains an authentication bypass vulnerability in the web-based management interface for several PAN-OS products, including firewalls and VPN concentrators.
Powiązane podatności
Buffer overflow RCE z uprawnieniami root w PAN-OS Captive Portal
RCE jako root w GlobalProtect — command injection w PAN-OS
When Security Assertion Markup Language (SAML) authentication is enabled and the 'Validate Identity Provider C...
Palo Alto Networks PAN-OS before 6.1.19, 7.0.x before 7.0.19, 7.1.x before 7.1.14, and 8.0.x before 8.0.6 allo...
A memory corruption vulnerability exists in Palo Alto Networks GlobalProtect portal and gateway interfaces tha...