Webinar:

Detecteren van Phishing met een SOC

Lees verder

UPDATE 2: Pinewood Security Bulletin – Palo Alto PAN-OS: OS Command Injection

For English, see below.

Update 17-04-2024

Deze mail bevat diverse updates over de recente kwetsbaarheid in Palo Alto PAN-OS.

Palo Alto geeft aan dat, in tegenstelling tot wat eerder werd gesteld, het uitschakelen van de ‘Device Telemetry’-functionaliteit geen bescherming biedt tegen misbruik van deze kwetsbaarheid. Elk device dat gebruikmaakt van de ‘GlobalProtect’-functionaliteit is daarom kwetsbaar wanneer deze niet is voorzien van de laatste updates en ‘Threat Prevention’ voor deze kwetsbaarheid niet is ingeschakeld.

Verder geeft Palo Alto aan dat de kwetsbaarheid in toenemende mate wordt misbruikt en dat er diverse proof of concepts zijn verschenen waarmee het mogelijk is deze kwetsbaarheid uit te buiten.

Tot slot zijn er updates verschenen voor aanvullende versies van PAN-OS en heeft Palo Alto een check beschreven die op PAN-OS devices kan worden uitgevoerd om te controleren of misbruik van de kwetsbaarheid heeft plaatsgevonden.

Bovenstaande ontwikkelingen zijn de reden voor een update op onze initiële bulletin. De details zijn terug te vinden in de rest van dit bulletin.

Beschrijving

Er is een kwetsbaarheid ontdekt in de Palo Alto Networks PAN-OS software die kwaadwillenden in staat stelt om ongeautoriseerde code uit te voeren met root-rechten op de firewall.

Een systeem is kwetsbaar wanneer het de ‘GlobalProtect’-functionaliteit gebruikt. Palo Alto geeft aan dat deze kwetsbaarheid actief wordt misbruikt voor het overnemen van kwetsbare devices.

Kwetsbare versies

De kwetsbaarheid is van toepassing op onderstaande PAN-OS versies:

  • PAN-OS 11.1: versies voor 11.1.2-h3 (inclusief 11.1.0- en 11.1.1-versies)
  • PAN-OS 11.0: versies voor 11.0.4-h1 (inclusief 11.0.0 t/m 11.0.3-versies)
  • PAN-OS 10.2: versies voor 10.2.9-h1 (inclusief 10.2.0 t/m 10.2.8-versies)

Oplossingen en tijdelijke mitigaties

Palo Alto heeft hotfixes uitgebracht die deze kwetsbaarheid verhelpen. Het gaat om onderstaande hotfixes:

  • PAN-OS 11.1:
    • PAN-OS 11.1.2-h3
    • PAN-OS 11.1.1-h1
    • PAN-OS 11.1.0-h3
  • PAN-OS 11.0:
    • PAN-OS 11.0.4-h1
    • PAN-OS 11.0.3-h10
    • PAN-OS 11.0.2-h4
  • PAN-OS 10.2:
    • PAN-OS 10.2.9-h1
    • PAN-OS 10.2.8-h3
    • PAN-OS 10.2.7-h8
    • PAN-OS 10.2.6-h3
    • PAN-OS 10.2.5-h6

 

Hotfixes voor overige kwetsbare versies van PAN-OS zal Palo Alto in de komende dagen uitbrengen.

Indien er nog geen hotfix beschikbaar is voor de gebruikte versie van PAN-OS, bestaat er voor klanten met een ‘Threat Prevention’-abonnement de mogelijkheid om misbruik van de kwetsbaarheid te blokkeren. Dit kan worden gedaan door ‘Threat ID’ 95187 te activeren. Let er op dat deze threat ID moet worden toegepast op de GlobalProtect interface. Zie dit artikel voor meer informatie.

Noot: voorheen leek ook het uitschakelen van de ‘Device Telemetry’-functionaliteit een mitigerende maatregel te zijn. Inmiddels is echter duidelijk dat het uitschakelen hiervan geen effectieve maatregel is om misbruik van de kwetsbaarheid te voorkomen.

Detectie van mogelijk misbruik

Palo Alto Networks meldt dat er een toenemende hoeveelheid aanvallen is waargenomen die misbruik maken van deze kwetsbaarheid. Klanten kunnen een case openen op het Customer Support Portal om hun logs te laten onderzoeken op misbruik van deze kwetsbaarheid.

Daarnaast heeft Palo Alto een aantal manieren beschreven waarop misbruik van de kwetsbaarheid kan worden vastgesteld.

Generieke detectie

Controle op misbruik van de kwetsbaarheid is mogelijk door onderstaand commando uit te voeren binnen de PAN-OS CLI:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Bij normaal gebruik van het device verschijnen, als output van dit commando, regels zoals hieronder, waarbij aan het einde van de regel tussen de haakjes een GUID zichtbaar is:

“message”:”failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)”

Indien tussen de haakjes geen GUID maar een padverwijzing te zien is, wijst dit op succesvol misbruik van de kwetsbaarheid.

Detectie van initiële campagne

Naast de generieke detectie van misbruik van de kwetsbaarheid, heeft Palo Alto ook queries beschikbaar gesteld waarmee het mogelijk is om te controleren of een device mogelijk gecompromitteerd is bij een initiële campagne van misbruik. Deze controle kan worden uitgevoerd in de vorm van XQL-queries waarbij gezocht wordt op de volgende kenmerken:

  • De aanwezigheid van het domein .*nhdata.s3-us-west-2.amazonaws[.]com in de ruwe logs;
  • Hits op signature 95187 (indien deze is geactiveerd via Threat Prevention);
  • De aanwezigheid van bekende malafide IP-adressen in de ruwe logs en in telemetriedata.

Deze controles hebben betrekking op kenmerken van een bekende campagne en helpen niet bij het detecteren van nieuwe aanvallen.

Het Pinewood SOC heeft de bekende indicatoren van deze campagne in de detectie.

Meer informatie

Vragen

Voor vragen over deze security bulletin kunt u contact opnemen met het Pinewood Security Operations Center (SOC). Het Pinewood SOC is bereikbaar via +31 15 251 36 33 en via soc@pinewood.nl.

===== ENGLISH =====

Update 17-04-2024

This mail describes several updates on the recent vulnerability in Palo Alto PAN-OS.

Palo Alto has indicated that, contrary to what was previously stated, disabling the ‘Device Telemetry’  functionality does not prevent exploitation of the vulnerability. Each device using the ‘ GlobalProtect’  functionality without the hotfixes installed and without the specific ‘Threat Prevention’ for this vulnerability enabled, is therefore vulnerable.

In addition, Palo Alto has stated that this vulnerability is increasingly being abused and that multiple proof of concepts were released that will enable easy exploitation of it.

Several additional hotfixes were released for other versions of PAN-OS and Palo Alto described an additional check that can be performed on devices to determine if the vulnerability was successfully exploited on the device.

These developments have been the reason for this updated bulletin. You can find the details in the remainder of this bulletin.

Description

A vulnerability has been discovered in the Palo Alto Networks PAN-OS software that allows malicious actors to execute unauthorized code with root privileges on the firewall.

A system is vulnerable when it uses the ‘GlobalProtect’ functionality. Palo Alto indicates that this vulnerability is actively being abused to infect vulnerable devices.

Vulnerable versions

The vulnerability applies to the following PAN-OS versions:

  • PAN-OS 11.1: versions prior to 11.1.2-h3 (including 11.1.0 and 11.1.1 versions)
  • PAN-OS 11.0: versions prior to 11.0.4-h1 (including versions 11.0.0 through 11.0.3)
  • PAN-OS 10.2: versions prior to 10.2.9-h1 (including versions 10.2.0 through 10.2.8)

Solutions and workarounds

Palo Alto released hotfixes to resolve this vulnerability. The following versions were released:

  • PAN-OS 11.1:
    • PAN-OS 11.1.2-h3
    • PAN-OS 11.1.1-h1
    • PAN-OS 11.1.0-h3
  • PAN-OS 11.0:
    • PAN-OS 11.0.4-h1
    • PAN-OS 11.0.3-h10
    • PAN-OS 11.0.2-h4
  • PAN-OS 10.2:
    • PAN-OS 10.2.9-h1
    • PAN-OS 10.2.8-h3
    • PAN-OS 10.2.7-h8
    • PAN-OS 10.2.6-h3
    • PAN-OS 10.2.5-h6

Hotfixes for other vulnerable versions of PAN-OS will be released in the coming days.

If a hotfix is not yet available for the version of PAN-OS in use, customers with a Threat Prevention subscription have the ability to block exploitation of the vulnerability. This can be done by enabling ‘Threat ID’ 95187. Ensure that this threat ID is applied to the GlobalProtect interface. See this article for more information.

Note: previously, disabling the ‘Device Telemetry’ functionality was seen as a mitigating measure as well. However, recent exploitation has shown that this is not an effective measure to block exploitation of the vulnerability.

Detection of possible misuse

Palo Alto Networks is aware of an increasing number of attacks that leverage the exploitation of this vulnerability. Customers can open a case on the Customer Support Portal to have their logs examined for abuse of this vulnerability.

In addition, Palo Alto has released information on how to detect abuse of the vulnerability in multiple ways.

Generic detection

Detection of the vulnerability on a device can be determined by running the following command within the PAN-OS CLI:

grep pattern “failed to unmarshal session(.\+.\/” mp-log gpsvc.log*

Normally, this will result in an output such as below whereby at the end of the line (between the “(“ and “)” characters) a GUID will be visible:

“message”:”failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)”

If this GUID is not visible, but instead a file system path is shown, this indicates successful exploitation of the vulnerability.

Detection of initial campaign

Next to the generic detection, Palo Alto also released queries that will allow for checks on an initial campaign whereby this vulnerability was exploited. The XQL-queries search for the existence of several different characteristics:

  • The existence of the domain .*nhdata.s3-us-west-2.amazonaws[.]com in raw logs;
  • Hits on signature 95187 (if this signature is enabled through Threat Prevention);
  • The existence of well-known malicious IP addresses in raw logs and telemetry data.

These checks are specifically meant to detect the existence of a well-known campaign exploiting this vulnerability and thus will not detect other campaigns.

Pinewood SOC added the known indicators of this campaign to its detection.

More information

Questions

For questions about this security bulletin, please contact the Pinewood Security Operations Center (SOC). The Pinewood SOC can be contacted at +31 15 251 36 33 and via soc@pinewood.nl.

Richard Strooper

CTO / Manager SOC

015 251 36 36

info@pinewood.nl