Skip to content
arrow-alt-circle-up icon

Cyber Incident?

arrow-alt-circle-up icon

Call 00800 1744 0000

arrow-alt-circle-up icon

See all Threat Responses
 
Dear reader,
 
On 18 November 2024, Palo Alto Networks issued a security advisory for an authentication bypass vulnerability in the PAN-OS management web interface. The vulnerability is tracked under CVE-2024-0012 [1] and has a CVSS score for this is 9.3 [2]. The vulnerability allows an unauthenticated attacker with network access to the management web interface to gain PAN-OS administrator privileges. As the Northwave CERT has already observed mass exploitation by multiple threat actors, we urge all recipients to implement mitigation measures and patch their systems.
 
Description
The vulnerability, tracked as CVE-2024-0012 could allow an unauthenticated attacker to gain administrative privileges and perform administrative actions or exploit privilege escalation vulnerabilities such as CVE-2024-9474 to gain super-user privileges[3]. By exploiting CVE-2024-0012 to gain administrative access and then leveraging CVE-2024-9474 to escalate privileges to root, an attacker could execute arbitrary code on the affected device[4].
 
The PA-Series, VM-Series, and CN-Series firewalls and on Panorama (virtual and M-Series) are affected by this vulnerability. Cloud NGFW and Prisma Access are not impacted by this vulnerability.
 
The specific PAN-OS versions that are impacted are as follows:
  • PAN-OS 10.2 (< 10.2.12-h2)
  • PAN-OS 11.0 (< 11.0.6-h1)
  • PAN-OS 11.1 (< 11.1.5-h1)
  • PAN-OS 11.2 (< 11.2.5-h1)
Impact
An unauthenticated attacker could gain administrator access and manipulate the configuration. In addition, given the potential for attackers to exploit CVE-2024-9474 to escalate privileges to root and execute arbitrary code, we estimate the impact of this vulnerability as high.
 
Risk
At the time of writing, a proof of concept [4] demonstrating how the two vulnerabilities pertaining to CVE-2024-0012 and CVE-2024-9747 can be exploited in combination to achieve remote code execution on affected Palo Alto Networks devices. In addition, successful exploits related to this vulnerability are already being observed. We estimate the risk of this vulnerability as high.
 
Mitigation
The vulnerabilities are fixed in later versions of PAN-OS than those listed above, therefore applying recent patches to the affected devices is strongly recommended. The risk of exploitation is greatly reduced by restricting access to vulnerable management web interfaces to only trusted internal IP addresses as advised by the best practices deployment guidelines from Palo Alto.
 
What should you do?
Check if whether one or more of the affected PAN-OS versions are being used by devices on your network. Palo Alto also provides a list of known assets that require remediation, where those devices that are internet-facing are specifically tagged [1]. If affected products are identified, we recommend installing the most recent patches and to ensure access to the web interface is restricted. If devices were not patched and exposed to the internet, it is very likely that a breach has occurred. It is possible to upload Tech Support Files (TSF) to Palo Alto to check for signs of threat activity [1].
 
What will Northwave do?
We will monitor any developments regarding this vulnerability. If new critical information about this threat emerges we will contact you. You can call us by phone or send us an email if you would like additional information.
 
Especially Vulnerability Management customers will be notified if vulnerable systems are found in their infrastructure. 
 
Do you have an incident right now? Call our Incident Response Team: 00800 1744 0000
 
Disclaimer applies, see below.
 
Sources
 
Beste lezer,
 
Op 18 november 2024 heeft Palo Alto Networks een beveiligingsadvies uitgegeven voor een “authenticatie bypass” kwetsbaarheid in de PAN-OS management webinterface. De kwetsbaarheid is gedocumenteerd als CVE-2024-0012 [1] en heeft een CVSS score van 9.3 [2]. De kwetsbaarheid stelt een niet-geauthenticeerde aanvaller, met netwerktoegang tot de management webinterface, in staat om PAN-OS beheerdersrechten te krijgen. Omdat het Northwave CERT al op grote schaal misbruik door meerdere threat actors heeft waargenomen, dringen we er bij alle ontvangers op aan om maatregelen te implementeren om het risico te beperken en hun systemen te patchen.
 
Beschrijving
Door de kwetsbaarheid, beschreven als CVE-2024-0012, kan een niet-geauthenticeerde aanvaller beheerdersrechten verkrijgen en beheerdersacties uitvoeren of gebruik te maken van privilege-escalation kwetsbaarheden zoals CVE-2024-9474 om super-user rechten te verkrijgen[3]. Door misbruik te maken van CVE-2024-0012 om administratieve toegang te krijgen en vervolgens gebruik te maken van CVE-2024-9474 om de rechten te laten escaleren naar root, kan een aanvaller willekeurige code uitvoeren op het getroffen apparaat[4].
 
De PA-serie, VM-serie en CN-serie firewalls en Panorama (virtuele en M-serie) worden getroffen door deze kwetsbaarheid. Cloud NGFW en Prisma Access worden niet beïnvloed door deze kwetsbaarheid.
 
De specifieke PAN-OS versies die beïnvloed worden zijn: 
  • PAN-OS 10.2 (< 10.2.12-h2)
  • PAN-OS 11.0 (< 11.0.6-h1)
  • PAN-OS 11.1 (< 11.1.5-h1)
  • PAN-OS 11.2 (< 11.2.5-h1)
Impact
Een niet-geauthenticeerde aanvaller kan beheerderstoegang krijgen en de configuratie manipuleren. Daarnaast schatten we de impact van deze kwetsbaarheid hoog in, gezien de mogelijkheid voor aanvallers om CVE-2024-9474 te misbruiken om via ‘privilege escalation’ naar root, willekeurige code uit te voeren. 
 
Risico
Op het moment van schrijven is er een proof of concept [4] die laat zien hoe de twee kwetsbaarheden met betrekking tot CVE-2024-0012 en CVE-2024-9747 in combinatie kunnen worden misbruikt om op afstand code uit te voeren op de kwetsbare Palo Alto Networks apparaten. Daarnaast zijn er al succesvolle aanvallen met betrekking tot deze kwetsbaarheid waargenomen. We schatten het risico van deze kwetsbaarheid in als hoog.
 
Mitigatie
De kwetsbaarheden zijn verholpen in nieuwere versies van PAN-OS dan de hierboven genoemde, daarom raden we sterk aan om de meest recente patches te installeren op de kwetsbare apparaten. Het risico op uitbuiting van de kwetsbaarheid wordt sterk verminderd door de toegang tot de kwetsbare management web interfaces te beperken tot vertrouwde interne IP-adressen, zoals geadviseerd in de best practices implementatierichtlijnen van Palo Alto.
 
Wat moet u doen?
Controleer of een of meer van de getroffen PAN-OS versies worden gebruikt door apparaten in uw netwerk. Palo Alto biedt ook een lijst met apparaten waarvan bekend is dat ze moeten worden hersteld, waarbij apparaten die naar het internet zijn gericht specifiek zijn gemarkeerd [1]. Als er getroffen producten zijn geïdentificeerd, raden we aan de meest recente patches te installeren en ervoor te zorgen dat de toegang tot de webinterface wordt beperkt. Als apparaten niet zijn gepatcht en zijn blootgesteld aan het internet, is het zeer waarschijnlijk dat er een inbreuk heeft plaatsgevonden. Het is mogelijk om Tech Support Files (TSF) te uploaden naar Palo Alto om deze te controleren op tekenen van dreigingsactiviteit [1].
 
Wat gaat Northwave doen?
We zullen alle ontwikkelingen met betrekking tot deze kwetsbaarheid in de gaten houden. Als er nieuwe kritieke informatie over deze dreiging bekend wordt, nemen wij contact met u op. U kunt ons bellen of een e-mail sturen als u aanvullende informatie wenst.
 
Vooral klanten van Vulnerability Management worden op de hoogte gebracht als er kwetsbare systemen in hun infrastructuur worden aangetroffen. 
 
Telefoonnummer: +31 (0)30-303 1244 (during business hours)
Heeft u nu een incident? Bel ons Incident Response Team: 00800 1744 0000
 
Disclaimer is van toepassing, zie onder
 
Bronnen
 

Disclaimer

Northwave has made every effort to make this information accurate and reliable. However, the information provided is without warranty of any kind and its use is at the sole risk of the user. Northwave does not accept any responsibility or liability for the accuracy, content, completeness, legality or reliability of the information provided. We will not be liable for any loss or damage of whatever nature, direct or indirect, consequential or other, whether arising in contract, tort or otherwise, which may arise as a result of your use of, or inability to use, this information or any additional information provided by us in direct or indirect relation to the information provided here.