Update - Actief misbruik is waargenomen
Er is in Nederland actief misbruik waargenomen van kwetsbaarheid CVE-2024-3400 in Palo Alto PAN-OS, zo bericht het NCSC.
Het advies blijft om de door Palo Alto beschikbaar gestelde updates te (laten) installeren.
Update - Proof of Concept is verschenen, mitigerende maatregelen aangepast
Onderzoekers hebben proof-of-concept (PoC) code gepubliceerd waarmee de kwetsbaarheid met kenmerk CVE-2024-3400 kan worden aangetoond. Daarnaast heeft Palo Alto op de website aangegeven dat de proof-of-concept openbaar is gemaakt. De PoC beschrijft hoe er misbruik kan worden gemaakt van de kwetsbaarheid.
Palo Alto heeft hiernaast op de website aangegeven dat het eerder gegeven advies om de dreiging te mitigeren door tijdelijk Device Telemetry uit te schakelen niet langer een effectieve oplossing is. Device Telemetry hoeft niet te zijn ingeschakeld, om deze kwetsbaarheid in PAN-OS te kunnen misbruiken.
Ook het aantal Threat ID’s voor abonnees van de ‘Threat Prevention Subscription’ is aangepast. Meer informatie is te vinden op deze site van Palo Alto.
Het advies om zo snel mogelijk de door Palo Alto beschikbaar gestelde beveiligingsupdates door te voeren blijft staan.
Update 15 april - Beveiligingsupdates zijn beschikbaar
Softwareproducent Palo Alto heeft beveiligingsupdates uitgebracht voor de kwetsbaarheid in PAN-OS software (CVE-2024-3400).
Oorspronkelijk bericht 12 april
Palo Alto heeft een kwetsbaarheid ontdekt in PAN-OS. PAN-OS is software die draait op alle Palo Alto Networks® next-generation firewalls. De kwetsbaarheid (CVE-2024-3400) bevindt zich alleen in de PAN-OS versies 10.2, 11.0 en 11.1, indien zowel de GlobalProtect Gateway en Device Telemetry actief in gebruik zijn. De kwetsbaarheid is ingeschaald als ‘High/High’, dit wil zeggen dat er een grote kans is dat deze kwetsbaarheid wordt misbruikt en dat de schade groot kan zijn. Palo Alto meldt dat de kwetsbaarheid beperkt en gericht is misbruikt.
Wat is het risico?
De ontdekte kwetsbaarheid kan een kwaadwillende in staat stellen om middels command-injection willekeurige code uit te voeren op het kwetsbare systeem. Er is nu geen Proof-of-Concept (PoC) of exploitcode beschikbaar.
Wat kun je doen?
Op dit moment is er nog geen beveiligingsupdate beschikbaar om deze kwetsbaarheid te verhelpen. Deze wordt verwacht op 14 april. Wel zijn er mitigerende maatregelen beschikbaar om het risico van misbruik zoveel mogelijk te beperken tot de update beschikbaar is.
Als er binnen jouw bedrijf gebruik gemaakt wordt van PAN-OS-software, dan adviseert het Digital Trust Center (DTC) om deze mitigerende maatregelen zo spoedig mogelijk te (laten) nemen. Zodra de beveiligingsupdate beschikbaar is, is het belangrijk om deze zo snel mogelijk te installeren. Als je niet zeker weet of je gebruikmaakt van deze software, vraag dit dan na bij je IT-dienstverlener.
Mitigerende maatregelen
Er zijn mitigerende maatregelen gepubliceerd om de dreiging te verminderen. Abonnees van de ‘Threat Prevention Subscription’ worden geadviseerd om Threat ID 95187 actief te hebben, hiermee worden aanvallen geblokkeerd. Gebruikers zonder abonnement kunnen de dreiging mitigeren door tijdelijk ‘Device Telemetry’ uit te schakelen totdat de update beschikbaar is.
Veilig digitaal ondernemen
Wil je als ondernemer of security verantwoordelijke meldingen van ernstige cyberdreigingen voor bedrijven in je mailbox ontvangen? Sluit je dan aan bij de DTC Community.
Ter ondersteuning van ondernemers is er ook een breed palet aan cybersecurity informatie en een gereedschapskist met cybertools. Testen of je de basis al op orde hebt? Doe de CyberVeilig Check voor zzp en mkb of de Basisscan Cyberweerbaarheid .