Hoạt động quét trên diện rộng trên internet đang gia tăng, cho thấy các tác nhân đe dọa đang chủ động dò tìm các hệ thống dễ bị tổn thương bởi lỗ hổng CVE-2024-3400, một lỗi GlobalProtect nghiêm trọng trong Palo Alto Networks PAN-OS.
Phân tích kỹ thuật khai thác CVE-2024-3400
Các nhà nghiên cứu bảo mật tại SANS ISC đã ghi nhận một địa chỉ IP duy nhất, 141.98.82.26, liên tục nhắm mục tiêu vào điểm cuối tải tệp của cổng GlobalProtect.
Mục đích là để đặt và truy xuất các tệp phiên trên tường lửa Palo Alto Networks.
Quy trình khai thác chi tiết
Khai thác lỗ hổng CVE-2024-3400 diễn ra qua hai bước chính:
- Bước 1: Kẻ tấn công gửi yêu cầu POST đến
/ssl-vpn/hipreport.esp. Yêu cầu này chứa một ID phiên đã bị thao túng để buộc tạo một tệp trong thư mục GlobalProtect. - Bước 2: Sau đó, một yêu cầu GET được gửi đến đường dẫn của tệp vừa được tạo. Phản hồi “403” từ máy chủ xác nhận việc tải lên thành công, cho thấy tệp tồn tại nhưng không thực thi bất kỳ mã nào.
Trong một kịch bản tấn công thực tế, kẻ thù sẽ liên kết kỹ thuật này với một vị trí cho phép thực thi lệnh. Điều này sẽ giúp đạt được quyền kiểm soát cấp root đối với tường lửa.
Mức độ nghiêm trọng của CVE nghiêm trọng này
Lỗ hổng CVE-2024-3400 đã nhận được điểm CVSS 4.0 hoàn hảo là 10.0.
Palo Alto Networks đã đánh giá mức độ khẩn cấp là “HIGHEST” (Cao nhất), yêu cầu sự chú ý ngay lập tức từ các quản trị viên.
Mã khai thác (Proof-of-Concept – PoC) đã lan truyền công khai. Các kỹ thuật duy trì quyền truy cập sau khai thác cũng đã được trình bày.
Điều này làm tăng nguy cơ đáng kể cho các môi trường chưa được vá lỗi.
Mặc dù hoạt động quét gia tăng, chưa có báo cáo nào về các cuộc tấn công trên diện rộng được xác nhận ngoài việc khai thác PoC.
Tuy nhiên, khả năng tự động hóa dễ dàng, không yêu cầu xác thực và tính chất dễ truy cập qua mạng của lỗ hổng này khiến nó trở thành mục tiêu chính cho các tác nhân cơ hội và botnet tự động.
Các phiên bản PAN-OS bị ảnh hưởng
Lỗ hổng CVE-2024-3400 ảnh hưởng đến các phiên bản PAN-OS sau:
- 10.2
- 11.0
- 11.1
Các phiên bản này bị ảnh hưởng khi được cấu hình với GlobalProtect portal hoặc gateway.
Các sản phẩm như Cloud NGFW, Panorama và Prisma Access không bị ảnh hưởng bởi lỗ hổng này.
Các bản vá bảo mật và biện pháp giảm thiểu
Palo Alto Networks đã phát hành các bản vá cho lỗ hổng CVE-2024-3400 tại các phiên bản sau: Security Advisory CVE-2024-3400.
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1
- PAN-OS 11.1.2-h3
Một số bản hotfix bổ sung cũng được cung cấp cho các bản phát hành bảo trì khác. Quản trị viên được khuyến nghị nâng cấp ngay lập tức.
Biện pháp ngăn chặn bổ sung
Các tổ chức có đăng ký Threat Prevention có thể triển khai các signature sau để chặn các nỗ lực khai thác tại giao diện GlobalProtect:
- Signature 95187
- Signature 95189
- Signature 95191
Việc vô hiệu hóa tính năng device telemetry không còn được coi là biện pháp giảm thiểu hiệu quả.
Giám sát và ứng phó
Cho đến khi các bản vá được áp dụng, các nhà phòng thủ nên theo dõi các điểm cuối GlobalProtect.
Cần chú ý đến các yêu cầu POST hoặc GET bất thường tới hipreport.esp và /global-protect/portal/images/.
Hệ thống phát hiện xâm nhập mạng (IDS) phải được cấu hình để cảnh báo về các chuỗi user-agent bất thường. Cần giám sát các mẫu phản hồi 404/403 lặp đi lặp lại.
Chỉ số thỏa hiệp (IOCs)
Trong quá trình quét và dò tìm lỗ hổng này, địa chỉ IP sau đã được quan sát là nguồn gốc:
- Địa chỉ IP:
141.98.82.26
Xử lý hệ thống bị xâm nhập
Đối với các thiết bị bị xâm nhập và không thể hoàn toàn tin cậy, Palo Alto Networks Customer Support cung cấp các quy trình khôi phục cài đặt gốc (factory-reset) nâng cao.
Kết luận và khuyến nghị
Với hoạt động quét trên diện rộng và các mã khai thác PoC được công khai, các tổ chức phải coi trọng lỗ hổng CVE-2024-3400 với mức độ khẩn cấp cao nhất. Mục tiêu là ngăn chặn nguy cơ bị chiếm quyền điều khiển toàn bộ hệ thống.
Giám sát liên tục, vá lỗi kịp thời và triển khai các signature phòng chống mối đe dọa là những biện pháp phòng thủ thiết yếu. Điều này giúp chống lại các nỗ lực khai thác mới nổi của lỗ hổng CVE này.
