2024年4月16日,网上更新披露了一个Palo Alto Networks PAN-OS 命令注入漏洞(CVE-2024-3400),Palo Alto Networks PAN-OS GlobalProtect 是Palo Alto Networks 的一款防火墙产品,请各位用户尽快安装漏洞补丁。
漏洞风险:在特定PAN-OS版本和不同功能配置下,未经身份验证的攻击者可能利用此漏洞在防火墙上以root权限执行任意代码。官方预计2024年4月14日发布安全更新补丁,修复计PAN-OS 10.2、PAN-OS 11.0和PAN-OS 11.1的更新。所有其他版本的PAN-OS不受影响。经初步分析,该漏洞仅影响 同时开启了GlobalProtect gateway/portal 和 device telemetry 功能的PAN-OS。
风险等级:高风险。
影响范围:
PAN-OS 11.1.* < 11.1.2-h3
PAN-OS 11.0.* < 11.0.4-h1
PAN-OS 10.2.* < 10.2.9-h1
修复建议:
1、建议受影响用户尽快升级。
2、临时关闭device telemetry功能,在 Device > Setup > Telemetry 界面取消选中Enable Telemetry,待更新升级后再开启。
3、利用安全组功能设置其仅对可信地址开放。
进行安全更新方法:
https://docs.paloaltonetworks.com/pan-os/11-1/pan-os-release-notes/pan-os-11-1-2-known-and-addressed-issues
