Wykryto poważną lukę bezpieczeństwa w urządzeniach Palo Alto (CVE-2024-9474 i CVE-2024-0012), umożliwiającą zdalne wykonanie kodu bez uwierzytelnienia z uprawnieniami root. Podatność jest aktywnie wykorzystywana przez atakujących.
Do exploitacji wystarczy dostęp do ekranu logowania panelu administracyjnego. Mechanizm ataku jest banalnie prosty - polega na dodaniu odpowiedniego nagłówka HTTP i modyfikacji ścieżki zapytania.
Zalecana natychmiastowa aktualizacja do wersji:
- PAN-OS 10.1.14-h6
- PAN-OS 10.2.12-h2
- PAN-OS 11.0.6-h1
- PAN-OS 11.1.5-h1
- PAN-OS 11.2.4-h1
Na GitHubie dostępny jest już skrypt nmapa do weryfikacji podatności:
https://github.com/RootUp/PersonalStuff/blob/master/http-vuln-cve2024-0012.nseSkrypt sprawdza możliwość obejścia uwierzytelnienia poprzez wysłanie specyficznych nagłówków HTTP. Pozwala szybko zweryfikować, czy dana instancja jest podatna na atak.
Źródło:
https://sekurak.pl/absurdalnie-prosta-do-wykorzystania-krytyczna-podatnosc-w-urzadzeniach-od-palo-alto-unauth-rce-jako-root-luka-jest-juz-wykorzystywana-przez-atakujacych/