在2024年11月18日,Palo Alto Networks发布了一项重要安全公告,指出PAN-OS软件存在一个严重的认证绕过漏洞。这一漏洞使得攻击者能够在未经授权的情况下访问管理Web接口,从而获得PAN-OS管理员权限,执行管理操作、修改配置或利用其他已知的鉴权升级漏洞,如CVE-2024-9474。
漏洞描述
该漏洞位于PAN-OS软件中,由于缺乏对关键功能的认证验证,使得攻击者能够通过网络访问管理Web接口,进而获得PAN-OS管理员权限。这种风险可以通过限制管理Web接口访问到仅限信任内部IP地址来降低。具体来说,以下版本的PAN-OS软件受影响:
- PAN-OS 10.2
- PAN-OS 11.0
- PAN-OS 11.1
- PAN-OS 11.2
此漏洞仅影响PA-Series、VM-Series和CN-Series防火墙,以及Panorama(虚拟和M-Series)设备。Cloud NGFW和Prisma Access不受影响。
攻击风险和严重性
如果管理接口配置允许从互联网或任何不受信任的网络直接或通过数据平面接口访问,攻击风险最大。如果确保只允许信任内部IP地址访问管理接口,可以显著降低攻击风险。
确认和修复措施
要确认受影响设备,请访问Palo Alto Networks客户支持门户(Products → Assets → All Assets → Remediation Required),查看已检测的设备列表。如果列表中有标记为PAN-SA-2024-0015且最后一次见于UTC时间的设备,则表示我们的扫描发现了具有互联网面向管理接口的设备。如果没有此类设备,则表示在过去三天内未发现任何具有互联网面向管理接口的设备。
该漏洞已在以下版本中修复:
- PAN-OS 10.2.12-h2
- PAN-OS 11.0.6-h1
- PAN-OS 11.1.5-h1
- PAN-OS 11.2.4-h1
- 所有更高版本的PAN-OS
工程和缓解措施
为了最大限度地降低攻击风险,Palo Alto Networks强烈建议按照最佳实践部署指南来保护管理接口。具体来说,应只允许信任内部IP地址访问管理接口以防止来自互联网的外部访问。如果已有威胁预防订阅,则可以使用威胁标识95746、95747、95752、95753、95759和95763(可在应用程序和威胁内容版本8915-9075及更高版本中找到)来阻止这些攻击。
其他相关信息
在Palo Alto Networks已知的攻击中,这一漏洞被广泛利用,第三方已公开发布了漏洞的POC。因此,建议尽快升级到修复版本以避免潜在风险。
此外,GlobalProtect门户和网关(通常在端口443上访问)不受此问题影响。但是,如果在接口上配置了管理配置文件,则会暴露设备攻击管理Web接口(通常在端口4443上访问)。