漏洞分享 - Palo Alto PAN-OS 存在遠端執行程式碼漏洞
Palo Alto PAN-OS 存在遠端執行程式碼漏洞
一、摘要
Palo Alto PAN-OS 存在一個漏洞,允許遠端攻擊者利用此漏洞,於目標系統觸發遠端執行程式碼。
二、存在風險
Palo Alto Networks PAN-OS 軟體的 User-ID™ 驗證入口網站(又稱 Captive Portal)服務,允許未經驗證的攻擊者透過傳送經過特殊設計的封包,在 PA 系列和 VM 系列防火牆上以 root 權限執行任意程式碼,其影響系統如下:
- 受影響之系統/漏洞描述:
- PAN-OS 10.2.7-h34, 10.2.10-h36, 10.2.13-h21, 10.2.16-h7, 10.2.18-h6 之前的 PAN-OS 10.2 版本
- PAN-OS 11.1.4-h33, 11.1.6-h32, 11.1.7-h6, 11.1.10-h25, 11.1.13-h5, 11.1.15 之前的 PAN-OS 11.1 版本
- PAN-OS 11.2.4-h17, 11.2.7-h13, 11.2.10-h6, 11.2.12 之前的 PAN-OS 11.2 版本
- PAN-OS PAN-OS 12.1.4-h5, 12.1.7 之前的 PAN-OS 12.1 版本
- 當以下兩個條件同時成立時,客戶才會受到影響:
- 已啟用 User-ID™ 認證入口網站:
- 檢查路徑: Device (設備) > User Identification (使用者識別) > Authentication Portal Settings (認證入口網站設定)。
- 確認項: 是否勾選了 Enable Authentication Portal (啟用認證入口網站)(無論是透明模式或重新導向模式皆適用)。
- 介面管理設定檔啟用了「回應頁面」且關聯至外部網路介面:
- 檢查路徑: Network (網路) > Interface (介面) > 選擇特定介面 > Advanced (進階) 標籤 > Management Profile (管理設定檔)。
- 確認項: 該設定檔內是否啟用了回應頁面功能,並確認該介面是否暴露於網際網路上。
三、建議改善措施
企業及使用者如有上述漏洞版本應儘速採用官方提供之緩解措施:
- 限制認證入口網站的存取與調整介面設定
- 限制區域: 將 User-ID™ 認證入口網站 的存取權限限制在「受信任的區域(Trusted Zones)」。
- 停用回應頁面: 在所有可能接收到「不受信任或來自網際網路流量」的 L3 介面中,停用其關聯的「介面管理設定檔(Interface Management Profile)」內的 Response Pages(回應頁面) 功能。
- 保留範圍: 僅在合法使用者瀏覽器流量進入的「受信任/內部區域」介面上,保持啟用回應頁面。
- 操作步驟: 可參考 Live Community 文章與知識庫文章中的「步驟 6」來進行存取限制。
- 停用不必要的功能:如果環境中不需要使用 User-ID™ 認證入口網站,請直接將其停用。
- 啟用資安威脅防護(針對 Threat Prevention 訂閱用戶)
- 防護方式: 藉由啟用 Threat ID 510019 來阻斷針對此漏洞的攻擊。
- 版本要求:
- 內容版本(Content Version):需為 9097-10022 或更高版本。
- 系統版本(PAN-OS):由於解碼器(Decoder)功能的限制,必須使用 PAN-OS 11.1 或更高版本才能支援此 Threat ID。
