certfr_alerte - certfr-2024-ale-006

CERTFR-2024-ALE-006

Vulnerability from certfr_alerte

[Mise à jour du 10 mai 2024] Le CERT-FR est intervenu pour le traitement d'une compromission par rançongiciel au sein d'une entité française. Dans le cadre de cette attaque, la vulnérabilité a été exploitée pour ensuite réaliser une latéralisation dans le système d'information de la victime et déployer le rançongiciel.

Par ailleurs, l'éditeur recommande l'ouverture d'un dossier de support et l'exécution d'une version améliorée de la remise en état d'usine (enhanced factory reset) [6] dans le cas où un équipement n'aurait pas été mis à jour avant le 25 avril 2024 ou si l'éventualité d'une compromission persistante ne peut pas être écartée après investigation.

[Mise à jour du 26 avril 2024]

Note importante : Si un équipement a déjà été compromis, l'application du correctif de sécurité ne suffit pas. Si des investigations n'ont pas été réalisées, elles doivent être faites pour s'assurer que l'équipement n'a pas été compromis avant sa mise à jour. En effet, dans ce cas, une remise en état d'usine sera requis.

[Mise à jour du 25 avril 2024]

Le CERT-FR a pris connaissance de cas d'exploitation de cette vulnérabilité par des acteurs rançongiciels.

Par ailleurs, les mesures de remédiation ont fait l'objet d'une clarification : la remise en état d'usine (factory reset) est fortement recommandée dans tous les cas, sauf contre-ordre explicite de l’éditeur.

[Mise à jour du 19 avril 2024] Ajout de mesures de remédiation

Détection de la compromission

Il est recommandé de faire une demande d'assistance auprès de Palo Alto Networks au travers du portail de support (Customer Support Portal, CSP) en transmettant un technical support file (TSF) pour déterminer si les journaux de l'équipement contiennent des traces de tentatives d'exploitation de la vulnérabilité ([1]). Le fichier TSF contient des données sensibles et doit être stocké et transmis avec précautions.

De plus, le CERT-FR recommande également la recherche des éléments de compromission (adresses IP et condensats de fichiers) décrits dans [1], [2] et [3].

Mesures d'endiguement

En cas de suspicion ou de compromission avérée de l'équipement, les étapes suivantes doivent être suivies :

Isoler l’équipement d'Internet, sans l'éteindre ;
Si l’équipement est une machine virtuelle, prendre un instantané (snapshot) incluant la mémoire vive à des fins d’investigation
- Sinon, exporter les journaux pour éviter leur rotation ;
Parallèlement, identifier les comptes du domaine Active Directory qui seraient configurés sur l'équipement suspecté. Réinitialiser les secrets associés à ces comptes afin d'éviter que l'attaquant ne puisse réutiliser ailleurs les identifiants éventuellement volés sur l'équipement.

Étapes d'investigation

Contacter le support Palo Alto Networks pour qu'il investigue le fichier TSF préalablement exporté
- Le support voudra potentiellement se connecter à l'équipement pour approfondir l'investigation. Il faudra alors rétablir l'accès Internet au strict nécessaire ;
Rechercher sur l’équipement des comptes à privilège ajoutés illégitimement ;
En parallèle, rechercher dans les journaux du réseau (pare-feu, netflow, DNS) les traces de communications inhabituelles initiées depuis l'équipement ;
Rechercher dans les journaux de connexion des systèmes internes des traces de connexion (applicative ou système) provenant de l'adresse IP de gestion de l'équipement.

Remédiation

Les étapes de remédiations suivantes doivent être suivies. Le support Palo Alto Networks est également susceptible de communiquer un processus de remédiation.

Exporter la configuration ;
Réaliser une remise en état d'usine (Factory Reset), sauf contre-ordre explicite de l'équipe support de l'éditeur ; (mise à jour du 25 avril 2024)
Mettre à jour l'équipement jusqu'à la version contenant le dernier correctif de sécurité ;
Réimporter la configuration ;
Renouveler la clé de chiffrement principale (Master Key) [5] ;
Renouveler les secrets d'authentification de l'équipement et révoquer les anciens certificats.

[Mise à jour du 18 avril 2024] Le CERT-FR a connaissance d'incidents liés à l'exploitation de la vulnérabilité.

Le CERT-FR a connaissance de plusieurs compromissions avérées en lien avec la vulnérabilité. Cette alerte sera mise à jour avec des compléments d'information.

[Mise à jour du 17 avril 2024] Le CERT-FR a connaissance de codes d'exploitation publics et de tentatives d'exploitation

Le CERT-FR a connaissance de codes d'exploitation publics et de tentatives d'exploitation qui pourraient évoluer vers des exploitations massives de la vulnérabilité. Le CERT-FR recommande donc de déployer les correctifs diffusés par l'éditeur dans les meilleurs délais. Veuillez vous référer à la section "Solution" pour plus de détails.

[Publication initiale]

Une vulnérabilité a été découverte dans la fonctionnalité GlobalProtect de Palo Alto Networks PAN-OS. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance.

L'éditeur indique que la vulnérabilité CVE-2024-3400 est exploitée dans des attaques ciblées.

Contournement provisoire

[Mise à jour du 17 avril 2024] Mise à jour des mesures de contournement

L'éditeur présentait précédemment la désactivation de la télémétrie comme mesure de contournement. Cette mesure n'est plus considérée comme efficace et la vulnérabilité peut être exploitée même si la télémétrie est désactivée.

[Publication initiale]

Le CERT-FR recommande d'appliquer les mesures de contournement documentées par l'éditeur dans son avis de sécurité à la section Workarounds and Mitigations (cf. section Documentation).

Solution

[Mise à jour du 19 avril 2024] Publication des dernières versions correctives

Les versions correctives 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 11.0.0-h3 et 11.0.1-h4 ont été publiées.

[Mise à jour du 17 avril 2024] Ajout de versions correctives

Les versions correctives PAN-OS 10.2.6-h3, PAN-OS 10.2.5-h6, PAN-OS 11.0.3-h10, PAN-OS 11.0.2-h4, PAN-OS 11.1.1-h1 et PAN-OS 11.1.0-h3 ont été publiées.

[Mise à jour du 16 avril 2024] Ajout de versions correctives

Les versions correctives PAN-OS 10.2.8-h3 et PAN-OS 10.2.7-h8 ont été publiées.

[Mise à jour du 15 avril 2024] Publication des premières versions correctives

Les mises à jour suivantes contiennent un correctif de sécurité : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. L'éditeur indique que des versions correctives pour les autres versions communément déployées seront publiées progressivement jusqu'au 19 avril 2024.

[Publication initiale]

Palo Alto Networks a annoncé qu'un correctif sera disponible le 14 avril 2024.

Le CERT-FR recommande de consulter régulièrement les annonces de l'éditeur pour la mise à disposition des correctifs.

[Mise à jour du 19 avril 2024] Publication des dernières versions correctives

PAN-OS 11.1.x versions antérieures à 11.1.0-h3, 11.1.1-h1 et 11.1.2-h3
PAN-OS 11.0.x versions antérieures à 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10 et 11.0.4-h1
PAN-OS 10.2.x antérieures à 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3 et 10.2.9-h1

[Mise à jour du 15 avril 2024] Publication des premières versions correctives
Les mises à jour suivantes contiennent un correctif de sécurité : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3.

L'éditeur précise que les produits Cloud NGFW, Panorama et Prisma Access ne sont pas affectés par cette vulnérabilité.

[Publication initiale]
Un correctif est en attente de publication pour PAN-OS versions 11.1.x, 11.0.x et 10.2.x.

Impacted products

Vendor	Product	Description
Palo Alto Networks	N/A	PAN-OS 10.2.x antérieures à 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3 et 10.2.9-h1
Palo Alto Networks	N/A	PAN-OS 11.0.x versions antérieures à 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10 et 11.0.4-h1
Palo Alto Networks	N/A	PAN-OS 11.1.x versions antérieures à 11.1.0-h3, 11.1.1-h1 et 11.1.2-h3

References

Title

Publication Time

Tags

[1] Bulletin de sécurité Palo Alto Networks PAN-252214	2024-04-12	vendor-advisory
[3] Analyse de Volexity du 12 avril 2024	-	other
[4] Article de support Palo Alto Networks sur la création d'un TSF	-	other
[6] Article de support Palo Alto Networks pour la réalisation d'une remiste en état d'usine améliorée	-	other
Avis CERTFR-2024-AVI-0307 du 15 avril 2024	-	other
[5] Article de support Palo Alto Networks sur la création d'une clé de chiffrement principale	-	other
[2] Analyse de Palo Alto Networks Unit42 du 12 avril 2024	-	other

Show details on source website

JSON

To clipboard

{
  "$ref": "https://www.cert.ssi.gouv.fr/openapi.json",
  "affected_systems": [
    {
      "description": "PAN-OS 10.2.x ant\u00e9rieures \u00e0 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3 et 10.2.9-h1",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Palo Alto Networks",
          "scada": false
        }
      }
    },
    {
      "description": "PAN-OS 11.0.x versions ant\u00e9rieures \u00e0 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10 et 11.0.4-h1",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Palo Alto Networks",
          "scada": false
        }
      }
    },
    {
      "description": "PAN-OS 11.1.x versions ant\u00e9rieures \u00e0 11.1.0-h3, 11.1.1-h1 et 11.1.2-h3",
      "product": {
        "name": "N/A",
        "vendor": {
          "name": "Palo Alto Networks",
          "scada": false
        }
      }
    }
  ],
  "affected_systems_content": "\u003cp\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\u003cspan style=\"color: #000000;\"\u003e[Mise \u00e0 jour du 19 avril 2024] Publication des derni\u00e8res versions correctives\u003c/span\u003e\u003cbr /\u003e \u003c/strong\u003e\u003c/span\u003e\u003c/p\u003e \u003cul\u003e \u003cli\u003ePAN-OS 11.1.x versions ant\u00e9rieures \u00e0 11.1.0-h3, 11.1.1-h1 et 11.1.2-h3\u003c/li\u003e \u003cli\u003ePAN-OS 11.0.x versions ant\u00e9rieures \u00e0 11.0.0-h3, 11.0.1-h4, 11.0.2-h4, 11.0.3-h10 et 11.0.4-h1\u003c/li\u003e \u003cli\u003ePAN-OS 10.2.x ant\u00e9rieures \u00e0 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13, 10.2.4-h16, 10.2.5-h6, 10.2.6-h3, 10.2.7-h8, 10.2.8-h3 et 10.2.9-h1\u003c/li\u003e \u003c/ul\u003e \u003cp\u003e\u003cstrong\u003e[Mise \u00e0 jour du 15 avril 2024] Publication des premi\u00e8res versions correctives\u003c/strong\u003e\u003cbr /\u003e Les mises \u00e0 jour suivantes contiennent un correctif de s\u00e9curit\u00e9 : PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3.\u003c/p\u003e \u003cp\u003eL\u0027\u00e9diteur pr\u00e9cise que les produits Cloud NGFW, Panorama et Prisma Access ne sont pas affect\u00e9s par cette vuln\u00e9rabilit\u00e9.\u003c/p\u003e \u003cp\u003e\u003cstrong\u003e[Publication initiale]\u003c/strong\u003e\u003cbr /\u003e Un correctif est en attente de publication pour PAN-OS versions 11.1.x, 11.0.x et 10.2.x.\u003c/p\u003e ",
  "closed_at": "2024-07-01",
  "content": "## Contournement provisoire\n\n**\\[Mise \u00e0 jour du 17 avril 2024\\] Mise \u00e0 jour des mesures de\ncontournement**\n\nL\u0027\u00e9diteur pr\u00e9sentait pr\u00e9c\u00e9demment la d\u00e9sactivation de la t\u00e9l\u00e9m\u00e9trie\ncomme mesure de contournement. Cette mesure n\u0027est plus consid\u00e9r\u00e9e comme\nefficace et la vuln\u00e9rabilit\u00e9 peut \u00eatre exploit\u00e9e m\u00eame si la t\u00e9l\u00e9m\u00e9trie\nest d\u00e9sactiv\u00e9e.\n\n**\\[Publication initiale\\]**\n\nLe CERT-FR recommande d\u0027appliquer les mesures de contournement\ndocument\u00e9es par l\u0027\u00e9diteur \u003cspan class=\"mx_EventTile_body markdown-body\"\ndir=\"auto\"\u003edans son avis de s\u00e9curit\u00e9\u003c/span\u003e \u00e0 la section *Workarounds\nand Mitigations* (cf. section Documentation).\n\n## Solution\n\n\u003cspan style=\"color: #000000;\"\u003e**\\[Mise \u00e0 jour du 19 avril 2024\\]\nPublication des derni\u00e8res versions correctives**\u003c/span\u003e\n\nLes versions correctives 10.2.0-h3, 10.2.1-h2, 10.2.2-h5, 10.2.3-h13,\n10.2.4-h16, 11.0.0-h3 et 11.0.1-h4\u00a0 ont \u00e9t\u00e9 publi\u00e9es.\n\n**\\[Mise \u00e0 jour du 17 avril 2024\\] Ajout de versions correctives**\n\nLes versions correctives PAN-OS 10.2.6-h3, PAN-OS 10.2.5-h6, PAN-OS\n11.0.3-h10, PAN-OS 11.0.2-h4, PAN-OS 11.1.1-h1 et PAN-OS 11.1.0-h3 ont\n\u00e9t\u00e9 publi\u00e9es.\n\n\u003cspan style=\"color: #000000;\"\u003e**\\[Mise \u00e0 jour du 16 avril 2024\\] Ajout\nde versions correctives**\u003c/span\u003e\n\nLes versions correctives PAN-OS 10.2.8-h3 et PAN-OS 10.2.7-h8 ont \u00e9t\u00e9\npubli\u00e9es.\n\n**\\[Mise \u00e0 jour du 15 avril 2024\\] Publication des premi\u00e8res versions\ncorrectives**\n\nLes mises \u00e0 jour suivantes contiennent un correctif de s\u00e9curit\u00e9 : PAN-OS\n10.2.9-h1, PAN-OS 11.0.4-h1 et PAN-OS 11.1.2-h3. L\u0027\u00e9diteur indique que\ndes versions correctives pour les autres versions commun\u00e9ment d\u00e9ploy\u00e9es\nseront publi\u00e9es progressivement jusqu\u0027au 19 avril 2024.\n\n**\\[Publication initiale\\]**\n\nPalo Alto Networks a annonc\u00e9 qu\u0027un correctif sera disponible le 14 avril\n2024.\n\n\u003cspan class=\"mx_EventTile_body\" dir=\"auto\"\u003eLe CERT-FR recommande de\nconsulter r\u00e9guli\u00e8rement les annonces de l\u0027\u00e9diteur pour la mise \u00e0\ndisposition des correctifs.\u003c/span\u003e\n",
  "cves": [
    {
      "name": "CVE-2024-3400",
      "url": "https://www.cve.org/CVERecord?id=CVE-2024-3400"
    }
  ],
  "initial_release_date": "2024-04-12T00:00:00",
  "last_revision_date": "2024-07-01T00:00:00",
  "links": [
    {
      "title": "[3] Analyse de Volexity du 12 avril 2024",
      "url": "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
    },
    {
      "title": "[4] Article de support Palo Alto Networks sur la cr\u00e9ation d\u0027un TSF",
      "url": "https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClRlCAK"
    },
    {
      "title": "[6] Article de support Palo Alto Networks pour la r\u00e9alisation d\u0027une remiste en \u00e9tat d\u0027usine am\u00e9lior\u00e9e",
      "url": "https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000CrO6CAK"
    },
    {
      "title": "Avis CERTFR-2024-AVI-0307 du 15 avril 2024",
      "url": "https://www.cert.ssi.gouv.fr/avis/CERTFR-2024-AVI-0307/"
    },
    {
      "title": "[5] Article de support Palo Alto Networks sur la cr\u00e9ation d\u0027une cl\u00e9 de chiffrement principale",
      "url": "https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClsbCAC"
    },
    {
      "title": "[2] Analyse de Palo Alto Networks Unit42 du 12 avril 2024",
      "url": "https://unit42.paloaltonetworks.com/cve-2024-3400/"
    }
  ],
  "reference": "CERTFR-2024-ALE-006",
  "revisions": [
    {
      "description": "Version initiale",
      "revision_date": "2024-04-12T00:00:00.000000"
    },
    {
      "description": "Publication des premi\u00e8res versions correctives et ajout de pr\u00e9cisions",
      "revision_date": "2024-04-15T00:00:00.000000"
    },
    {
      "description": "Ajout de nouvelles versions correctives",
      "revision_date": "2024-04-16T00:00:00.000000"
    },
    {
      "description": "Codes d\u0027exploitation publics, modification des mesures de contournement et nouvelles versions correctives",
      "revision_date": "2024-04-17T00:00:00.000000"
    },
    {
      "description": "Le CERT-FR a connaissance d\u0027incidents li\u00e9s \u00e0 l\u0027exploitation de la vuln\u00e9rabilit\u00e9",
      "revision_date": "2024-04-18T00:00:00.000000"
    },
    {
      "description": "Ajout de mesures de rem\u00e9diation",
      "revision_date": "2024-04-19T00:00:00.000000"
    },
    {
      "description": "Clarification et information concernant l\u0027exploitation de la vuln\u00e9rabilit\u00e9.",
      "revision_date": "2024-04-25T00:00:00.000000"
    },
    {
      "description": "compl\u00e9ment d\u0027information concernant la n\u00e9cessit\u00e9 de r\u00e9aliser des investigations.",
      "revision_date": "2024-04-26T00:00:00.000000"
    },
    {
      "description": "compl\u00e9ment d\u0027information sur un incident trait\u00e9 par le CERT-FR et nouvelle proc\u00e9dure de remise en \u00e9tat d\u0027usine.",
      "revision_date": "2024-05-10T00:00:00.000000"
    },
    {
      "description": "Cl\u00f4ture de l\u0027alerte. Cela ne signifie pas la fin d\u0027une menace. Seule l\u0027application de la mise \u00e0 jour permet de vous pr\u00e9munir contre l\u0027exploitation de la vuln\u00e9rabilit\u00e9 correspondante.",
      "revision_date": "2024-07-01T00:00:00.000000"
    }
  ],
  "risks": [
    {
      "description": "Ex\u00e9cution de code arbitraire \u00e0 distance"
    }
  ],
  "summary": "\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 10 mai 2024\\]\u003c/strong\u003e\n\u003c/span\u003e\u003cstrong\u003eLe CERT-FR est intervenu pour le traitement d\u0027une compromission\npar ran\u00e7ongiciel au sein d\u0027une entit\u00e9 fran\u00e7aise. Dans le cadre de cette\nattaque, la vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 exploit\u00e9e pour ensuite r\u00e9aliser une\nlat\u00e9ralisation dans le syst\u00e8me d\u0027information de la victime et d\u00e9ployer\nle ran\u00e7ongiciel.\u003c/strong\u003e\n\nPar ailleurs, l\u0027\u00e9diteur recommande l\u0027ouverture d\u0027un dossier de support\net l\u0027ex\u00e9cution d\u0027une v\u003cspan style=\"text-decoration: underline;\"\u003eersion\nam\u00e9lior\u00e9e de la remise en \u00e9tat d\u0027usine\u003c/span\u003e (*enhanced factory reset*)\n\\[6\\] dans le cas o\u00f9 un \u00e9quipement n\u0027aurait pas \u00e9t\u00e9 mis \u00e0 jour avant le\n25 avril 2024 ou si l\u0027\u00e9ventualit\u00e9 d\u0027une compromission persistante ne\npeut pas \u00eatre \u00e9cart\u00e9e apr\u00e8s investigation.\n\n\u00a0\n\n\u003cspan style=\"color: #000000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 26 avril 2024\\]\u003c/strong\u003e\n\u003c/span\u003e\n\n\u003cspan style=\"text-decoration: underline;\"\u003eNote importante :\u003c/span\u003e Si un\n\u00e9quipement a d\u00e9j\u00e0 \u00e9t\u00e9 compromis, l\u0027application du correctif de s\u00e9curit\u00e9\nne suffit pas. Si des investigations n\u0027ont pas \u00e9t\u00e9 r\u00e9alis\u00e9es, \u003cspan\nstyle=\"text-decoration: underline;\"\u003eelles doivent \u00eatre faites\u003c/span\u003e\npour s\u0027assurer que l\u0027\u00e9quipement n\u0027a pas \u00e9t\u00e9 compromis avant sa mise \u00e0\njour. En effet, dans ce cas, une remise en \u00e9tat d\u0027usine sera requis.\n\n\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\u003cspan style=\"color: #000000;\"\u003e\\[Mise \u00e0\njour du 25 avril 2024\\]\u003c/span\u003e\u003c/strong\u003e \u003c/span\u003e\n\n\u003cspan style=\"color: #000000;\"\u003eLe CERT-FR a pris connaissance de cas\nd\u0027exploitation de cette vuln\u00e9rabilit\u00e9 par des acteurs\nran\u00e7ongiciels.\u003c/span\u003e\n\n\u003cspan style=\"color: #000000;\"\u003ePar ailleurs, les mesures de rem\u00e9diation\nont fait l\u0027objet d\u0027une clarification : la remise en \u00e9tat d\u0027usine\n(*factory reset*) est fortement recommand\u00e9e dans tous les cas, sauf\ncontre-ordre explicite de l\u2019\u00e9diteur.\u003c/span\u003e\n\n\u00a0\n\n\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e\u003cspan style=\"color: #000000;\"\u003e\\[Mise \u00e0\njour du 19 avril 2024\\] Ajout de mesures de rem\u00e9diation\u003c/span\u003e  \n\u003c/strong\u003e\u003c/span\u003e\n\n### D\u00e9tection de la compromission\n\nIl est recommand\u00e9 de faire une demande d\u0027assistance aupr\u00e8s de Palo Alto\nNetworks au travers du portail de support (*Customer Support Portal,\nCSP*) en transmettant un *technical support file* (TSF) pour d\u00e9terminer\nsi les journaux de l\u0027\u00e9quipement contiennent des traces de tentatives\nd\u0027exploitation de la vuln\u00e9rabilit\u00e9 (\\[1\\]). Le fichier TSF contient des\ndonn\u00e9es sensibles et doit \u00eatre stock\u00e9 et transmis avec pr\u00e9cautions.\n\nDe plus, le CERT-FR recommande \u00e9galement la recherche des \u00e9l\u00e9ments de\ncompromission (adresses IP et condensats de fichiers) d\u00e9crits dans\n\\[1\\], \\[2\\] et \\[3\\].\n\n### Mesures d\u0027endiguement\n\nEn cas de suspicion ou de compromission av\u00e9r\u00e9e de l\u0027\u00e9quipement, les\n\u00e9tapes suivantes doivent \u00eatre suivies :\n\n1.  Isoler l\u2019\u00e9quipement d\u0027Internet, sans l\u0027\u00e9teindre ;\n2.  Si l\u2019\u00e9quipement est une machine virtuelle, prendre un instantan\u00e9\n    (*snapshot*) incluant la m\u00e9moire vive \u00e0 des fins d\u2019investigation\n    -   Sinon, exporter les journaux pour \u00e9viter leur rotation ;\n3.  Parall\u00e8lement, identifier les comptes du domaine Active Directory\n    qui seraient configur\u00e9s sur l\u0027\u00e9quipement suspect\u00e9. R\u00e9initialiser les\n    secrets associ\u00e9s \u00e0 ces comptes afin d\u0027\u00e9viter que l\u0027attaquant ne\n    puisse r\u00e9utiliser ailleurs les identifiants \u00e9ventuellement vol\u00e9s sur\n    l\u0027\u00e9quipement.\n\n### \u00c9tapes d\u0027investigation\n\n1.  Contacter le support Palo Alto Networks pour qu\u0027il investigue le\n    fichier TSF pr\u00e9alablement export\u00e9\n    -   Le support voudra potentiellement se connecter \u00e0 l\u0027\u00e9quipement\n        pour approfondir l\u0027investigation. Il faudra alors r\u00e9tablir\n        l\u0027acc\u00e8s Internet au strict n\u00e9cessaire ;\n2.  Rechercher sur l\u2019\u00e9quipement des comptes \u00e0 privil\u00e8ge ajout\u00e9s\n    ill\u00e9gitimement ;\n3.  En parall\u00e8le, rechercher dans les journaux du r\u00e9seau (pare-feu,\n    netflow, DNS) les traces de communications inhabituelles initi\u00e9es\n    depuis l\u0027\u00e9quipement ;\n4.  Rechercher dans les journaux de connexion des syst\u00e8mes internes des\n    traces de connexion (applicative ou syst\u00e8me) provenant de l\u0027adresse\n    IP de gestion de l\u0027\u00e9quipement.\n\n### Rem\u00e9diation\n\nLes \u00e9tapes de rem\u00e9diations suivantes doivent \u00eatre suivies. Le support\nPalo Alto Networks est \u00e9galement susceptible de communiquer un processus\nde rem\u00e9diation.\n\n1.  Exporter la configuration ;\n2.  R\u00e9aliser une remise en \u00e9tat d\u0027usine (*Factory Reset*), sauf\n    contre-ordre explicite de l\u0027\u00e9quipe support de l\u0027\u00e9diteur ; \u003cspan\n    style=\"color: #000000;\"\u003e(mise \u00e0 jour du 25 avril 2024)\u003c/span\u003e\n3.  Mettre \u00e0 jour l\u0027\u00e9quipement jusqu\u0027\u00e0 la version contenant le dernier\n    correctif de s\u00e9curit\u00e9 ;\n4.  R\u00e9importer la configuration ;\n5.  Renouveler la cl\u00e9 de chiffrement principale (*Master Key*) \\[5\\] ;\n6.  Renouveler les secrets d\u0027authentification de l\u0027\u00e9quipement et\n    r\u00e9voquer les anciens certificats.\n\n\u003cspan style=\"color: #000000;\"\u003e\u003cstrong\u003e\\[Mise \u00e0 jour du 18 avril 2024\\]\u00a0Le\nCERT-FR a connaissance d\u0027incidents li\u00e9s \u00e0 l\u0027exploitation de la\nvuln\u00e9rabilit\u00e9.  \n\u003c/strong\u003e\u003c/span\u003e\n\nLe CERT-FR a connaissance de plusieurs compromissions av\u00e9r\u00e9es en lien\navec la vuln\u00e9rabilit\u00e9. Cette alerte sera mise \u00e0 jour avec des\ncompl\u00e9ments d\u0027information.\n\n\u003cstrong\u003e\\[Mise \u00e0 jour du 17 avril 2024\\]\u003c/strong\u003e \u003cstrong\u003e\u003cspan\nclass=\"mx_EventTile_body markdown-body\" dir=\"auto\"\u003eLe CERT-FR a\nconnaissance de codes d\u0027exploitation publics et de tentatives\nd\u0027exploitation\u003c/span\u003e\u003c/strong\u003e\u003cspan style=\"color: #ff0000;\"\u003e\u003cstrong\u003e  \n\u003c/strong\u003e\u003c/span\u003e\n\nLe CERT-FR a connaissance de codes d\u0027exploitation publics et de\ntentatives d\u0027exploitation qui pourraient \u00e9voluer vers des exploitations\nmassives de la vuln\u00e9rabilit\u00e9. Le CERT-FR recommande donc de d\u00e9ployer les\ncorrectifs diffus\u00e9s par l\u0027\u00e9diteur dans les meilleurs d\u00e9lais. Veuillez\nvous r\u00e9f\u00e9rer \u00e0 la section \"Solution\" pour plus de d\u00e9tails.\n\n\u003cstrong\u003e\\[Publication initiale\\]\u003c/strong\u003e\n\nUne vuln\u00e9rabilit\u00e9 a \u00e9t\u00e9 d\u00e9couverte dans la fonctionnalit\u00e9 GlobalProtect\nde Palo Alto Networks PAN-OS. Elle permet \u00e0 un attaquant de provoquer\nune ex\u00e9cution de code arbitraire \u00e0 distance.\n\nL\u0027\u00e9diteur indique que la vuln\u00e9rabilit\u00e9 CVE-2024-3400 est exploit\u00e9e dans\ndes attaques cibl\u00e9es.\n",
  "title": "[M\u00e0J] Vuln\u00e9rabilit\u00e9 dans Palo Alto Networks GlobalProtect",
  "vendor_advisories": [
    {
      "published_at": "2024-04-12",
      "title": "[1] Bulletin de s\u00e9curit\u00e9 Palo Alto Networks PAN-252214",
      "url": "https://security.paloaltonetworks.com/CVE-2024-3400"
    }
  ]
}

CVE-2024-3400 (GCVE-0-2024-3400)

Vulnerability from cvelistv5

Published

2024-04-12 07:20

Modified

2025-10-21 23:05

Severity ?

10.0 (Critical) - CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H

CWE

CWE-77 - Improper Neutralization of Special Elements used in a Command ('Command Injection')
CWE-20 - Improper Input Validation

Summary

A command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurations may enable an unauthenticated attacker to execute arbitrary code with root privileges on the firewall. Cloud NGFW, Panorama appliances, and Prisma Access are not impacted by this vulnerability.

References

URL

Tags

	https://security.paloaltonetworks.com/CVE-2024-3400	vendor-advisory
	https://unit42.paloaltonetworks.com/cve-2024-3400/	technical-description
	https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/	technical-description
	https://www.paloaltonetworks.com/blog/2024/04/more-on-the-pan-os-cve/	technical-description

Impacted products

Vendor

Product

Version

Palo Alto Networks

PAN-OS

Version: 10.2.0   < 10.2.9-h1
Version: 11.0.0   < 11.0.4-h1
Version: 11.1.0   < 11.1.2-h3

	Palo Alto Networks	Cloud NGFW
	Palo Alto Networks	Prisma Access

Show details on NVD website

JSON

To clipboard

{
  "containers": {
    "adp": [
      {
        "affected": [
          {
            "cpes": [
              "cpe:2.3:o:paloaltonetworks:pan-os:10.2.0:*:*:*:*:*:*:*"
            ],
            "defaultStatus": "unknown",
            "product": "pan-os",
            "vendor": "paloaltonetworks",
            "versions": [
              {
                "lessThan": "10.2.9-h1",
                "status": "affected",
                "version": "10.2.0",
                "versionType": "custom"
              }
            ]
          },
          {
            "cpes": [
              "cpe:2.3:o:paloaltonetworks:pan-os:11.0.0:*:*:*:*:*:*:*"
            ],
            "defaultStatus": "unknown",
            "product": "pan-os",
            "vendor": "paloaltonetworks",
            "versions": [
              {
                "lessThan": "11.0.4-h1",
                "status": "affected",
                "version": "11.0.0",
                "versionType": "custom"
              }
            ]
          },
          {
            "cpes": [
              "cpe:2.3:o:paloaltonetworks:pan-os:11.1.0:-:*:*:*:*:*:*"
            ],
            "defaultStatus": "unknown",
            "product": "pan-os",
            "vendor": "paloaltonetworks",
            "versions": [
              {
                "lessThan": "11.1.2-h3",
                "status": "affected",
                "version": "11.1.0",
                "versionType": "custom"
              }
            ]
          }
        ],
        "metrics": [
          {
            "other": {
              "content": {
                "id": "CVE-2024-3400",
                "options": [
                  {
                    "Exploitation": "active"
                  },
                  {
                    "Automatable": "yes"
                  },
                  {
                    "Technical Impact": "total"
                  }
                ],
                "role": "CISA Coordinator",
                "timestamp": "2024-04-17T04:00:13.543064Z",
                "version": "2.0.3"
              },
              "type": "ssvc"
            }
          },
          {
            "other": {
              "content": {
                "dateAdded": "2024-04-12",
                "reference": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-3400"
              },
              "type": "kev"
            }
          }
        ],
        "providerMetadata": {
          "dateUpdated": "2025-10-21T23:05:21.315Z",
          "orgId": "134c704f-9b21-4f2e-91b3-4a467353bcc0",
          "shortName": "CISA-ADP"
        },
        "references": [
          {
            "tags": [
              "government-resource"
            ],
            "url": "https://www.cisa.gov/known-exploited-vulnerabilities-catalog?field_cve=CVE-2024-3400"
          }
        ],
        "timeline": [
          {
            "lang": "en",
            "time": "2024-04-12T00:00:00+00:00",
            "value": "CVE-2024-3400 added to CISA KEV"
          }
        ],
        "title": "CISA ADP Vulnrichment"
      },
      {
        "providerMetadata": {
          "dateUpdated": "2024-08-01T20:12:06.667Z",
          "orgId": "af854a3a-2127-422b-91ae-364da2661108",
          "shortName": "CVE"
        },
        "references": [
          {
            "tags": [
              "vendor-advisory",
              "x_transferred"
            ],
            "url": "https://security.paloaltonetworks.com/CVE-2024-3400"
          },
          {
            "tags": [
              "technical-description",
              "x_transferred"
            ],
            "url": "https://unit42.paloaltonetworks.com/cve-2024-3400/"
          },
          {
            "tags": [
              "technical-description",
              "x_transferred"
            ],
            "url": "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
          },
          {
            "tags": [
              "technical-description",
              "x_transferred"
            ],
            "url": "https://www.paloaltonetworks.com/blog/2024/04/more-on-the-pan-os-cve/"
          }
        ],
        "title": "CVE Program Container"
      }
    ],
    "cna": {
      "affected": [
        {
          "defaultStatus": "unaffected",
          "product": "PAN-OS",
          "vendor": "Palo Alto Networks",
          "versions": [
            {
              "status": "unaffected",
              "version": "9.0.0"
            },
            {
              "status": "unaffected",
              "version": "9.1.0"
            },
            {
              "status": "unaffected",
              "version": "10.0.0"
            },
            {
              "status": "unaffected",
              "version": "10.1.0"
            },
            {
              "changes": [
                {
                  "at": "10.2.9-h1",
                  "status": "unaffected"
                }
              ],
              "lessThan": "10.2.9-h1",
              "status": "affected",
              "version": "10.2.0",
              "versionType": "custom"
            },
            {
              "changes": [
                {
                  "at": "11.0.4-h1",
                  "status": "unaffected"
                }
              ],
              "lessThan": "11.0.4-h1",
              "status": "affected",
              "version": "11.0.0",
              "versionType": "custom"
            },
            {
              "changes": [
                {
                  "at": "11.1.2-h3",
                  "status": "unaffected"
                }
              ],
              "lessThan": "11.1.2-h3",
              "status": "affected",
              "version": "11.1.0",
              "versionType": "custom"
            }
          ]
        },
        {
          "defaultStatus": "unaffected",
          "product": "Cloud NGFW",
          "vendor": "Palo Alto Networks",
          "versions": [
            {
              "status": "unaffected",
              "version": "All"
            }
          ]
        },
        {
          "defaultStatus": "unaffected",
          "product": "Prisma Access",
          "vendor": "Palo Alto Networks",
          "versions": [
            {
              "status": "unaffected",
              "version": "All"
            }
          ]
        }
      ],
      "configurations": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "This issue is applicable only to PAN-OS 10.2, PAN-OS 11.0, and PAN-OS 11.1 firewalls configured with GlobalProtect gateway or GlobalProtect portal (or both). Device telemetry does not need to be enabled for PAN-OS firewalls to be exposed to attacks related to this vulnerability.\u003cbr\u003e\u003cbr\u003eYou can verify whether you have a GlobalProtect gateway or GlobalProtect portal configured by checking for entries in your firewall web interface (Network \u0026gt; GlobalProtect \u0026gt; Gateways or Network \u0026gt; GlobalProtect \u0026gt; Portals)."
            }
          ],
          "value": "This issue is applicable only to PAN-OS 10.2, PAN-OS 11.0, and PAN-OS 11.1 firewalls configured with GlobalProtect gateway or GlobalProtect portal (or both). Device telemetry does not need to be enabled for PAN-OS firewalls to be exposed to attacks related to this vulnerability.\n\nYou can verify whether you have a GlobalProtect gateway or GlobalProtect portal configured by checking for entries in your firewall web interface (Network \u003e GlobalProtect \u003e Gateways or Network \u003e GlobalProtect \u003e Portals)."
        }
      ],
      "credits": [
        {
          "lang": "en",
          "type": "finder",
          "value": "Palo Alto Networks thanks Volexity for detecting and identifying this issue."
        },
        {
          "lang": "en",
          "type": "remediation verifier",
          "value": "Capability Development Group at Bishop Fox for helping us verify the fixes and improve threat prevention signatures."
        }
      ],
      "datePublic": "2024-04-12T06:55:00.000Z",
      "descriptions": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "A command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurations may enable an unauthenticated attacker to execute arbitrary code with root privileges on the firewall.\u003cbr\u003e\u003cbr\u003eCloud NGFW, Panorama appliances, and Prisma Access are not impacted by this vulnerability."
            }
          ],
          "value": "A command injection as a result of arbitrary file creation vulnerability in the GlobalProtect feature of Palo Alto Networks PAN-OS software for specific PAN-OS versions and distinct feature configurations may enable an unauthenticated attacker to execute arbitrary code with root privileges on the firewall.\n\nCloud NGFW, Panorama appliances, and Prisma Access are not impacted by this vulnerability."
        }
      ],
      "exploits": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "Palo Alto Networks is aware of an increasing number of attacks that leverage the exploitation of this vulnerability. Proof of concepts for this vulnerability have been publicly disclosed by third parties.\u003cbr\u003e\u003cbr\u003eMore information about the vulnerability\u0027s exploitation in the wild can be found in the Unit 42 threat brief (\u003ca target=\"_blank\" rel=\"nofollow\" href=\"https://unit42.paloaltonetworks.com/cve-2024-3400/\"\u003ehttps://unit42.paloaltonetworks.com/cve-2024-3400/\u003c/a\u003e) and the Palo Alto Networks PSIRT blog post (\u003ca target=\"_blank\" rel=\"nofollow\" href=\"https://www.paloaltonetworks.com/blog/2024/04/more-on-the-pan-os-cve/)\"\u003ehttps://www.paloaltonetworks.com/blog/2024/04/more-on-the-pan-os-cve/)\u003c/a\u003e."
            }
          ],
          "value": "Palo Alto Networks is aware of an increasing number of attacks that leverage the exploitation of this vulnerability. Proof of concepts for this vulnerability have been publicly disclosed by third parties.\n\nMore information about the vulnerability\u0027s exploitation in the wild can be found in the Unit 42 threat brief ( https://unit42.paloaltonetworks.com/cve-2024-3400/ ) and the Palo Alto Networks PSIRT blog post ( https://www.paloaltonetworks.com/blog/2024/04/more-on-the-pan-os-cve/) ."
        }
      ],
      "impacts": [
        {
          "capecId": "CAPEC-248",
          "descriptions": [
            {
              "lang": "en",
              "value": "CAPEC-248 Command Injection"
            }
          ]
        }
      ],
      "metrics": [
        {
          "cvssV3_1": {
            "attackComplexity": "LOW",
            "attackVector": "NETWORK",
            "availabilityImpact": "HIGH",
            "baseScore": 10,
            "baseSeverity": "CRITICAL",
            "confidentialityImpact": "HIGH",
            "integrityImpact": "HIGH",
            "privilegesRequired": "NONE",
            "scope": "CHANGED",
            "userInteraction": "NONE",
            "vectorString": "CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H",
            "version": "3.1"
          },
          "format": "CVSS",
          "scenarios": [
            {
              "lang": "en",
              "value": "GENERAL"
            }
          ]
        }
      ],
      "problemTypes": [
        {
          "descriptions": [
            {
              "cweId": "CWE-77",
              "description": "CWE-77 Improper Neutralization of Special Elements used in a Command (\u0027Command Injection\u0027)",
              "lang": "en",
              "type": "CWE"
            }
          ]
        },
        {
          "descriptions": [
            {
              "cweId": "CWE-20",
              "description": "CWE-20 Improper Input Validation",
              "lang": "en",
              "type": "CWE"
            }
          ]
        }
      ],
      "providerMetadata": {
        "dateUpdated": "2024-04-19T22:27:27.179Z",
        "orgId": "d6c1279f-00f6-4ef7-9217-f89ffe703ec0",
        "shortName": "palo_alto"
      },
      "references": [
        {
          "tags": [
            "vendor-advisory"
          ],
          "url": "https://security.paloaltonetworks.com/CVE-2024-3400"
        },
        {
          "tags": [
            "technical-description"
          ],
          "url": "https://unit42.paloaltonetworks.com/cve-2024-3400/"
        },
        {
          "tags": [
            "technical-description"
          ],
          "url": "https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/"
        },
        {
          "tags": [
            "technical-description"
          ],
          "url": "https://www.paloaltonetworks.com/blog/2024/04/more-on-the-pan-os-cve/"
        }
      ],
      "solutions": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "We strongly advise customers to immediately upgrade to a fixed version of PAN-OS to protect their devices even when workarounds and mitigations have been applied.\u003cbr\u003e\u003cbr\u003eThis issue is fixed in PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3, and in all later PAN-OS versions. Customers who upgrade to these versions will be fully protected."
            }
          ],
          "value": "We strongly advise customers to immediately upgrade to a fixed version of PAN-OS to protect their devices even when workarounds and mitigations have been applied.\n\nThis issue is fixed in PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3, and in all later PAN-OS versions. Customers who upgrade to these versions will be fully protected."
        }
      ],
      "source": {
        "defect": [
          "PAN-252214"
        ],
        "discovery": "USER"
      },
      "timeline": [
        {
          "lang": "en",
          "time": "2024-04-12T06:55:00.000Z",
          "value": "Initial publication"
        }
      ],
      "title": "PAN-OS: Arbitrary File Creation Leads to OS Command Injection Vulnerability in GlobalProtect",
      "workarounds": [
        {
          "lang": "en",
          "supportingMedia": [
            {
              "base64": false,
              "type": "text/html",
              "value": "Recommended Mitigation: Customers with a Threat Prevention subscription can block attacks for this vulnerability using Threat IDs 95187, 95189, and 95191 (available in Applications and Threats content version 8836-8695 and later). Please monitor this advisory and new Threat Prevention content updates for additional Threat Prevention IDs around CVE-2024-3400.\u003cbr\u003e\u003cbr\u003eTo apply the Threat IDs, customers must ensure that vulnerability protection has been applied to their GlobalProtect interface to prevent exploitation of this issue on their device. Please see \u003ca target=\"_blank\" rel=\"nofollow\" href=\"https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184\"\u003ehttps://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184\u003c/a\u003e for more information."
            }
          ],
          "value": "Recommended Mitigation: Customers with a Threat Prevention subscription can block attacks for this vulnerability using Threat IDs 95187, 95189, and 95191 (available in Applications and Threats content version 8836-8695 and later). Please monitor this advisory and new Threat Prevention content updates for additional Threat Prevention IDs around CVE-2024-3400.\n\nTo apply the Threat IDs, customers must ensure that vulnerability protection has been applied to their GlobalProtect interface to prevent exploitation of this issue on their device. Please see  https://live.paloaltonetworks.com/t5/globalprotect-articles/applying-vulnerability-protection-to-globalprotect-interfaces/ta-p/340184  for more information."
        }
      ],
      "x_generator": {
        "engine": "Vulnogram 0.1.0-dev"
      }
    }
  },
  "cveMetadata": {
    "assignerOrgId": "d6c1279f-00f6-4ef7-9217-f89ffe703ec0",
    "assignerShortName": "palo_alto",
    "cveId": "CVE-2024-3400",
    "datePublished": "2024-04-12T07:20:00.707Z",
    "dateReserved": "2024-04-05T17:40:30.117Z",
    "dateUpdated": "2025-10-21T23:05:21.315Z",
    "state": "PUBLISHED"
  },
  "dataType": "CVE_RECORD",
  "dataVersion": "5.1"
}

Sightings

Author	Source	Type	Date

Nomenclature

Seen: The vulnerability was mentioned, discussed, or seen somewhere by the user.
Confirmed: The vulnerability is confirmed from an analyst perspective.
Published Proof of Concept: A public proof of concept is available for this vulnerability.
Exploited: This vulnerability was exploited and seen by the user reporting the sighting.
Patched: This vulnerability was successfully patched by the user reporting the sighting.
Not exploited: This vulnerability was not exploited or seen by the user reporting the sighting.
Not confirmed: The user expresses doubt about the veracity of the vulnerability.
Not patched: This vulnerability was not successfully patched by the user reporting the sighting.

Action not permitted

CERTFR-2024-ALE-006

Vulnerability from certfr_alerte

Détection de la compromission

Mesures d'endiguement

Étapes d'investigation

Remédiation

Contournement provisoire

Solution

CVE-2024-3400 (GCVE-0-2024-3400)

Vulnerability from cvelistv5

Tags

Sightings

Nomenclature