This post is also available in: Português
A CVE-2024-3400 é uma vulnerabilidade crítica que está sendo explorada por cibercriminosos para comprometer firewalls da Palo Alto Networks. Com uma classificação de gravidade 10 no sistema CVSS. A vulnerabilidade ainda apresenta escore de explorabilidade 3.9, indicando que trata-se de uma vulnerabilidade com baixa complexidade de exploração e um escore de impacto de 6.0. De todo modo, é importante avaliar o contexto de exploração para uma análise mais profunda do cenário. Contudo, essa vulnerabilidade não pode ser subestimada em termos de sua potencialidade de danos.
O problema está na capacidade dos invasores de executar código arbitrário nos firewalls, aproveitando uma falha de injeção de comando no sistema operacional PAN-OS. Esta brecha, identificada no recurso GlobalProtect, permite que invasores não autenticados executem código com privilégios de root nos dispositivos afetados. O impacto é potencialmente devastador, pois os invasores podem obter controle total sobre os firewalls, comprometendo a segurança e a integridade dos dados protegidos por eles.
A Palo Alto Networks emitiu um alerta e agiu rapidamente, lançando patches para corrigir as falhas. A vulnerabilidade foi identificada nas versões 10.2, 11.0 e 11.1 do PAN-OS e afeta os appliances Panorama, Cloud NGFW e soluções Prisma Access. A empresa afirma que o problema existe apenas se o gateway GlobalProtect e as configurações de telemetria dos dispositivos estiverem habilitados.
A empresa também informa que está ciente de um número limitado de ataques que se beneficiaram desta vulnerabilidade.
Alternativas e Estratégias de Mitigação
A empresa já lançou hotfixes específicos para as versões afetadas e também para outras versões de produtos que possam ser afetadas de alguma maneira por esta vulnerabilidade.
Também existem alternativas para enfrentar a CVE-2024-3400, medidas que os usuários podem tomar para reduzir o risco de exploração por parte de invasores.
- Aplicação do Threat ID 95187:
Os clientes que possuem assinatura do Threat Prevention têm a opção de bloquear os ataques relacionados a esta vulnerabilidade utilizando o Threat ID 95187. Este recurso está disponível no conteúdo de Aplicativos e Ameaças versão 8833-8682 e posteriores. Para implementar esta solução, é crucial garantir que a proteção contra vulnerabilidades esteja ativa na interface GlobalProtect. Para mais detalhes sobre a aplicação desta medida, consulte o link.
- A desativação temporária da telemetria do dispositivo, também é uma medida de contorno válida:
Se não for possível aplicar imediatamente a mitigação baseada na Prevenção contra Ameaças, uma alternativa viável é desativar temporariamente a telemetria do dispositivo afetado. Esta medida ajuda a reduzir o risco de exploração da vulnerabilidade até que o dispositivo seja atualizado com uma versão corrigida do PAN-OS. Após a aplicação da atualização, a telemetria do dispositivo deve ser reativada. Para usuários com firewalls gerenciados pelo Panorama, é importante garantir que a telemetria do dispositivo esteja desabilitada nos modelos relevantes, acessíveis através do menu Panorama > Modelos.
Essas soluções alternativas e estratégias de mitigação são essenciais para minimizar os riscos associados à CVE-2024-3400 enquanto os patches de segurança são implementados. É fundamental que os usuários ajam rapidamente para proteger seus sistemas e dados contra potenciais explorações por parte de cibercriminosos.
O resumo sobre esta CVE, incluindo, detalhes mais profundos da vulnerabilidade, escopo do ataque, orientações preliminares, comandos observados, recursos adicionais e conclusões estão disponíveis no artigo publicado no UNIT 42 (plataforma de inteligência de ameaças, resposta a incidentes e risco cibernético, mantida pela Palo Alto Networks).
Essa vulnerabilidade também destaca uma realidade difícil: mesmo com os avanços em tecnologia de segurança, as vulnerabilidades sempre surgirão, mesmo em empresas com elevado nível de tecnologias e padrões de desenvolvimento seguro.
Isso ressalta a importância da vigilância constante, tanto por parte dos fornecedores de segurança, quanto dos usuários finais e órgãos governamentais na busca por vulnerabilidades que possam gerar impacto para a sociedade como um todo.
Trata-se de um lembrete de que a segurança digital é uma batalha contínua, sustentada pelo pilar de produtos, processos e pessoas. Evoluir e aprimorar a jornada de segurança é essencial para todas as empresas.
This post is also available in: Português