Palo Alto Networks已為其防火墻和虛擬安全設備發布了兩個正在被積極利用的漏洞的修復程序。當這兩個漏洞同時存在時,攻擊者可以在底層的PAN-OS操作系統上以最高權限執行惡意代碼,從而完全控制設備。
Palo Alto本月早些時候發布了一份咨詢報告,警告客戶其正在調查有關PAN-OS基于Web的管理界面中存在潛在遠程代碼執行(RCE)漏洞的報告,并建議客戶遵循推薦的步驟來確保對該界面的安全訪問。
在調查過程中,該公司發現這次RCE攻擊并非由單一漏洞導致,而是由兩個漏洞共同造成。這兩個漏洞都已在針對管理界面暴露在互聯網上的設備的有限攻擊中被利用。
身份驗證繞過和權限提升
第一個漏洞(CVE-2024-0012)被評為嚴重級別,評分為10分中的9.3分。通過利用此漏洞,攻擊者可以繞過身份驗證并獲得管理界面的管理權限,從而執行管理操作并更改配置。
盡管這已經很糟糕,但它并不會直接導致整個系統被攻陷,除非這一功能能被用來在底層操作系統上執行惡意代碼。
事實證明,攻擊者通過第二個漏洞(CVE-2024-9474)找到了這樣一種方法,該漏洞允許任何擁有Web界面管理權限的人以root身份(即最高權限)在基于Linux的操作系統上執行代碼。
這兩個漏洞均影響PAN-OS 10.2、PAN-OS 11.0、PAN-OS 11.1和PAN-OS 11.2版本,目前這些版本都已獲得補丁。
漏洞源于疏忽
來自安全公司watchTowr的研究人員對Palo Alto的補丁進行了逆向工程,以分析這兩個漏洞,并得出結論認為,這些漏洞是開發過程中基本錯誤的結果。
為了驗證用戶訪問頁面是否需要身份驗證,PAN OS管理界面會檢查請求的X-Pan-Authcheck標頭是否設置為on或off。將請求轉發到托管Web應用的Apache服務器的Nginx代理服務器會根據請求的路由自動將X-Pan-Authcheck設置為on。在某些情況下,由于位置(例如/unauth/目錄)應無需身份驗證即可訪問,因此X-Pan-Authcheck被設置為off,但除了/unauth/之外,幾乎所有其他位置都應將該標頭設置為on,這應導致用戶被重定向到登錄頁面。
然而,watchTowr研究人員發現,一個名為uiEnvSetup.php的重定向腳本期望HTTP_X_PAN_AUTHCHECK的值被設置為off,如果請求中提供了這個值,服務器就會接受它。
“我們只需……在X-PAN-AUTHCHECK HTTP請求標頭中提供off值,服務器就會貼心地關閉身份驗證?!”研究人員在報告中寫道,“到了這一步,還有誰會感到驚訝呢?”
第二個漏洞同樣源于疏忽,它是一個命令注入漏洞,允許將shell命令作為用戶名傳遞給名為AuditLog.write()的函數,然后該函數將注入的命令傳遞給pexecute()。但根據研究人員的說法,傳遞給這個日志函數的負載實際上是另一個功能的結果,而這個功能本身也相當可怕。
該功能允許Palo Alto Panorama設備指定其希望模擬的用戶和用戶角色,然后無需提供密碼或通過雙因素身份驗證即可為其獲得完全認證的PHP會話ID。
綜上所述,由于這種軟件設計,攻擊者可以將shell負載作為用戶名字段的一部分來模擬特定用戶和角色,然后該負載將被傳遞給AuditLog.write(),接著傳遞給pexecute(),最終在底層操作系統上執行。
“令人驚訝的是,這兩個漏洞竟然出現在生產設備中,更令人驚訝的是,它們竟然通過Palo Alto設備底層潛伏的大量shell腳本調用而被允許存在,”研究人員在分析中寫道。
緩解措施
除了將受影響的防火墻更新到最新發布的版本外,管理員還應將管理界面的訪問權限限制為僅受信任的內部IP地址。管理界面也可以被隔離在專用的管理VLAN上,或者可以配置為通過所謂的跳轉服務器訪問,這些服務器需要先進行單獨的身份驗證。
將PAN-OS管理界面暴露在互聯網上是非常危險的,因為這不是在此類設備中發現的第一個,也不太可能是最后一個RCE漏洞。今年早些時候,Palo Alto Networks修補了PAN-OS中的一個零日RCE漏洞(CVE-2024-3400),該漏洞被國家支持的黑客組織利用過。
Palo Alto Networks的威脅追蹤團隊正在追蹤CVE-2024-0012和CVE-2024-9474的利用活動,并將其命名為Operation Lunar Peak,同時發布了與之相關的入侵指標。
“這次活動主要源自已知為匿名VPN服務代理/隧道流量的IP地址,”該團隊表示,“觀察到的后利用活動包括交互式命令執行和在防火墻上投放惡意軟件,如Webshell。”
企業網D1net(hfnxjk.com):
國內主流的to B IT門戶,旗下運營國內最大的甲方CIO專家庫和智力輸出及社交平臺-信眾智(www.cioall.com)。旗下運營19個IT行業公眾號(微信搜索D1net即可關注)。
版權聲明:本文為企業網D1Net編譯,轉載需在文章開頭注明出處為:企業網D1Net,如果不注明出處,企業網D1Net將保留追究其法律責任的權利。
京公網安備 11010502049343號