Informācija par apdraudējumiem

open-ssl:possible-cve-2024-3400

Apdraudējuma apraksts:

Kas ir noticis:
Jūs saņēmāt šo e-pastu tāpēc, ka Jūsu Paloalto programmatūra iespējams ir pakļauta kritiskai ievainojamībai cve-2024-3400 (https://cert.lv/lv/2024/04/kritiska-ievainojamiba-palo-alto-networks-pan-os-programmatura)

Noteiktām PAN-OS programmatūras versijām pie noteiktas konfigurācijas neautentificēts uzbrucējs var veikt patvaļīga koda izpildi ar administratora tiesībām ugunsmūrī. Ietekmētas ir PAN-OS 10.2, PAN-OS 11.0, un PAN-OS 11.1 ugunsmūra versijas, kurām konfigurācijā iespējota gan VPN - GlobalProtect vārteja, gan ierīces telemetrija.
Nepieciešams nekavējoties atjaunot Pan-OS versiju uz jaunāko pieejamo. Vairāk informācijas šeit - https://security.paloaltonetworks.com/CVE-2024-3400

Lai būtu iespējams saprast vai esat kompromitēti, nepieciešams izpildīt sekojošo komandu no PAN-OS komandu izpildes vietas (CLI):
grep pattern "failed to unmarshal session(.\+.\/" mp-log gpsvc.log*

Parādīsies vairākas rindiņas, kas līdzinās sekojošai:
"message":"failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)"

Ja iekavās esošā vērtība nelīdzinās GUID (Global Unique Identifier), bet satur datnes ceļu sistēmā (piem., /cels/uz/failu), tad pastāv liela iespēja, ka iekārta ir kompromitēta. Šādā gadījumā lūdzam nekavējoties sazināties ar CERT.LV.

*Ja jums trūkst pieredze un zināšanas minēto darbību veikšanai - iesakām apsvērt iespēju izmantot kompetenta IT speciālista palīdzību.

English


What has happened:
You received this e-mail because your Paloalto software may be exposed to critical vulnerability cve-2024-3400 (https://cert.lv/lv/2024/04 /critical-vulnerable-palo-alto-networks-pan-os-software)

For certain versions of the PAN-OS software, with a certain configuration, an unauthenticated attacker can execute arbitrary code with administrator rights in the firewall. Firewall versions of PAN-OS 10.2, PAN-OS 11.0, and PAN-OS 11.1 are affected, which have both - GlobalProtect gateway and device telemetry enabled in its configuration.

In order to understand whether you are compromised, you need to execute the following command from the PAN-OS command line (CLI):
grep pattern "failed to unmarshal session(.\+.\/" mp-log gpsvc.log*

Several lines will appear, similar to the following:
"message":"failed to unmarshal session(01234567-89ab-cdef-1234-567890abcdef)"

If the value in parentheses does not look like a GUID (Global Unique Identifier), but contains a file path on the system (eg /path/to/file), then there is a good chance that the machine is compromised. In this case, please contact CERT.LV immediately.