Kriittinen haavoittuvuus Palo Alton GlobalProtect -tuotteessa | Traficom
Siirry pääsisältöön
Kyberturvallisuuskeskus
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta
Ilmoita tietoturvaloukkauksesta

Kriittinen haavoittuvuus Palo Alton GlobalProtect -tuotteessa

12. huhtikuuta 2024 klo 11.26, päivitetty 26. huhtikuuta 2024 klo 13.48

Palo Alton PAN-OS-järjestelmän GlobalProtect-ominaisuuden haavoittuvuus mahdollistaa järjestelmän täyden haltuunoton etänä ilman tunnistautumista. Valmistaja on julkaissut ensimmäiset korjaavat päivitykset 14.4. Haavoittuvuutta hyväksikäytetään aktiivisesti ja haavoittuvuuden korjaavat päivitykset on syytä suorittaa välittömästi.

Haavoittuvuuden kohde

Palo Alto Networksin GlobalProtect on Suomessakin suosittu tuote, joka mahdollistaa organisaatioille esimerkiksi turvallisten etäyhteyksien käytön. Haavoittuvuus koskee organisaatioita, joilla kyseinen tuote on käytössä haavoittuvalla versiolla.

Haavoittuvia ovat Palo Alton laitteet, joissa

  • järjestelmänä on PAN-OS 10.2, PAN-OS 11.0, tai PAN-OS 11.1, ja
  • GlobalProtect -tuote on käytössä.

Cloud NGFW, Panorama appliances, ja Prisma Access tai muut PAN-OSin versiot (PAN-OS 10.1 tai vanhemmat) eivät ole haavoittuvia. 

Mistä on kysymys?

Komentoinjektiohaavoittuvuus mahdollistaa tunnistautumattomalle hyökkääjälle etänä pääkäyttäjätason pääsyn laitteeseen ja mielivaltaisen koodin suorittamisen. Palo Alton mukaan haavoittuvuutta on käytetty hyväksi ja Yhdysvaltain kyberturvallisuusvirasto CISA on lisännyt haavoittuvuuden tunnettujen hyväksikäytettyjen haavoittuvuuksien listaansa (KEV).

Mitä voin tehdä?

Organisaatioita suositellaan asentamaan korjaavat päivitykset välittömästi.

Alkuperäisen tiedon mukaan laitetelemetrian poistaminen käytöstä olisi ollut riittävä toimenpide haavoittuvuuden rajoittamiseksi, mutta uuden esimerkkihyväksikäyttökoodin (PoC) julkaisun myötä ei ole riittävä toimenpide. Rajoittamistoimenpiteenä toimii edelleen Threat Prevention -lisäominaisuuden käyttäminen, johon tarkemmat ohjeet valmistajan tiedotteessa.

Asiakkaat voivat avata tapauksen Palo Alton asiakastukiportaalissa (customer support portal, CSP) ja ladata portaaliin teknisen tuen tiedoston (technical support file, TSF) tarkastaakseen, löytyykö laitteen lokeista merkkejä haavoittuvuuden hyväksikäytöstä (IoC).

Ilmoittakaa Kyberturvallisuuskeskukselle, mikäli havaitsette laitteissanne haavoittuvuuden hyväksikäyttöä.

 

Palo Alto on julkaissut ensimmäiset korjaavat päivitykset sunnuntaina 14.4.2024. Korjaavien päivitysten tilanne 17.4.2024:

  • Valmistaja on korjannut haavoittuvuuden hotfix-versioissa PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 sekä kaikissa myöhemissä versioissa.
  • Valmistaja on julkaissut korjauksia myös vanhempiin ylläpitoversioihin.

Tarkemmat ohjeet ja tiedot valmistajan tiedotteessa.

15. huhtikuuta 2024 klo 12.37 Tarkennettu haavoittuvuustiedotetta valmistajan julkaistua ensimmäiset korjaavat päivitykset, pieniä tarkennuksia.