[JustisCERT-varsel] [#039-2024] [TLP:CLEAR] Masseutnyttelse av sårbarhet i Palo Alto PAN-OS Global Protect (CVE-2024-3400)

JustisCERT deler informasjon fra Nasjonalt Cybersikkerhetssenter (NCSC) om kritisk sårbarhet i Palo Alto Networks PAN-OS som varslet om 12.04.2024 (https://justiscert.no/[justiscert-varsel]-[037-2024]-[tlpclear]-kritisk-sarbarhet-i-flere-utgaver-av-palo-alto-pan-os). Kontakt JustisCERT ved behov for bistand.

Varsel fra NCSC:
NCSC-pulsen heves til nivå to (2): FORHØYET FARE [1].

NCSC viser til opprinnelig varsel om aktiv utnyttelse av kritisk sårbarhet i PAN-OS GlobalProtect (CVE-2024-3400) [2]. Det pågår nå masseutnyttelse av PAN-OS-sårbarheten. NCSC er også kjent med flere tilfeller av vellykket utnyttelse i Norge.

Palo Alto opplyser at tidligere mitigering ved å skru av telemetri ikke er tilstrekkelig [3]. Det har i tillegg kommet flere Threat Protection-regler siden opprinnelig publisering, noe som kan indikere at disse ikke er eller har vært fullstendige. Å kun belage seg på disse reglene er på dette tidspunktet utilstrekkelig og risikabelt.

NCSC anbefaler at berørte virksomheter som enda ikke har oppdatert til en sikker versjon av PAN-OS gjør dette så snart som mulig. Dersom dette ikke lar seg gjøre, anbefaler NCSC at man skrur av eller forhindrer tilgang til GlobalProtect (både portal og gateway) frem til oppdatering foreligger og er installert.

Virksomheter bør anse seg selv som kompromittert og iverksette undersøkelser for å avkrefte kompromittering [3], dersom man før sikkerhetsoppdatering har hatt sårbare versjoner av PAN-OS på nett med GlobalProtect aktivert og med eneste mitigering å ha skrudd av telemetri.

Med hilsen
NSM NCSC OPS

Referanser:
[1] https://nsm.no/puls
[2] https://nsm.no/fagomrader/digital-sikkerhet/nasjonalt-cybersikkerhetssenter/varsler-fra-ncsc/kritisk-sarbarhet-palo-alto-pan-os-globalprotect-gateway
[3] https://security.paloaltonetworks.com/CVE-2024-3400