• 發布單位:TWCERT/CC
• 更新日期:2024-04-22
• 點閱次數:2133

Palo Ato Networks發出告警，該公司PAN-OS防火牆存在命令注入漏洞(Command Injection)，使未經身份驗證的攻擊者能夠在防火牆以root權限執行任意程式碼，並已經在被大量利用攻擊中，建議使用者儘速採取緩解措施或進行更新作業。

Palo Ato Networks表示漏洞存在於設置GlobalProtect gateway或 GlobalProtect portal(或兩者)功能的PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1防火牆，受影響版本如下：

Palo Ato Networks安全研究組織Unit42發現此漏洞概念性驗證(Proof of Concept，PoC)攻擊程式已經由第三方公開於網路，利用此漏洞的攻擊數量不斷增加。在資安威脅情報研究公司Volexity擴大調查後，發現自2024年3月26日起，多個公司和組織遭受攻擊者利用這個漏洞的攻擊，而且，攻擊者疑似透過在火牆設備上放置Zore-bytes文件以驗證漏洞可利用性。另外，在4月7日Volexity觀察到攻擊者嘗試在使用者端的防火牆部署後門程式，但未成功。4月10日，即發現攻擊者成功地植入了惡意Payload，並下載其它惡意程式，以便進行內部橫向移動和竊取憑證和檔案。

Palo Ato Networks提供用戶透過PAN-OS CLI 的命令，協助辨識裝置上是否有此漏洞被攻擊的跡象：

1.搜尋 gpsvc.log相關紀錄檔

2.若搜尋到的記錄中，”session(“ 與 ”)” 之間的值不像是GUID，而是檔案的路徑或嵌入式shell命令，即需要進一步確認是否與CVE-2024-3400相關。

可能遭利用之輸出結果如下：

正常輸出結果如下：

Palo Ato Networks已針對CVE-2024-3400釋出更新程式，使用者除了透過官方提供檢測方式自行檢測外，亦應儘速完成更新作業，避免遭有心人士利用漏洞入侵。