cve-2024-0012 - RunkIntel

> [!danger] CVSS 9.8 - Crítico > Bypass de autenticação via header HTTP permite acesso administrativo completo sem credenciais. > [!warning] CISA KEV - Exploração Ativa Confirmada > Adicionada ao catálogo CISA KEV em 2024-11-18. Encadeada com CVE-2024-9474 para RCE. > [!success] Patch Disponível > Versões corrigidas: PAN-OS 10.2.12-h2, 11.0.6-h1, 11.1.5-h1, 11.2.4-h1. # CVE-2024-0012 - Bypass de Autenticação na Interface de Gerenciamento PAN-OS > CVSS: 9.8 · EPSS: 96% · Vendor: Palo Alto Networks · Patch: Sim · CISA KEV: Sim ## Resumo **CVE-2024-0012** é uma vulnerabilidade crítica de bypass de autenticação na interface web de gerenciamento do [[_palo-alto-networks|Palo Alto Networks]] PAN-OS. A falha permite que um atacante não autenticado com acesso de rede à interface de gerenciamento obtenha privilégios de administrador PAN-OS, possibilitando ações administrativas, alteração de configurações e exploração de outras vulnerabilidades de escalação de privilégios como [[cve-2024-9474|CVE-2024-9474]]. A vulnerabilidade é frequentemente encadeada com [[cve-2024-9474|CVE-2024-9474]] (escalação de privilégios) para obter execução de código remoto completa nos firewalls afetados. Ambas as CVEs estão sendo ativamente exploradas em conjunto. **Pontuação de risco:** - CVSS v3.1: **9.8** (Crítico) - EPSS: **96%** de probabilidade de exploração nos próximos 30 dias - CISA KEV: adicionado em 2024-11-18 - Exploit público: PoC disponível no GitHub ## Cadeia de Exploração ```mermaid graph TB ATK[Atacante] -->|HTTP com header X-PAN-AUTHCHECK: off| NGFW[PAN-OS Mgmt Interface] NGFW -->|Bypass de autenticação Nginx| ADM[Acesso Administrativo] ADM -->|Encadeamento com CVE-2024-9474| PRIV[Escalada de Privilégios] PRIV -->|Execução de comandos como root| RCE[RCE no Firewall] RCE -->|Desabilitar regras de firewall| NET[Acesso à Rede Interna] ``` ## Detalhes Técnicos A vulnerabilidade reside em uma implementação incorreta das verificações de autenticação na configuração do Nginx que processa requisições à interface de gerenciamento do PAN-OS. O ataque funciona da seguinte forma: 1. O atacante envia uma requisição HTTP para a interface de gerenciamento 2. Inclui o header `X-PAN-AUTHCHECK: off` na requisição 3. A configuração Nginx incorretamente desabilita a verificação de autenticação 4. O atacante obtém acesso administrativo completo sem credenciais Afeta exclusivamente PAN-OS 10.2, 11.0, 11.1 e 11.2 em firewalls PA-Series, VM-Series, CN-Series e Panorama. Cloud NGFW e Prisma Access não são afetados. ## Exploração **Status atual:** Exploração ativa confirmada - ambas CVE-2024-0012 e CVE-2024-9474 exploradas em cadeia. **Grupos de ameaça utilizando:** - [[uta0218]] - grupo anteriormente associado à exploração de vulnerabilidades PAN-OS **Campanhas associadas:** - [[ir-pan-os-exploitation]] - campanha de exploração em novembro de 2024 **TTPs relacionadas:** - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - exploração da interface de gerenciamento - [[t1078-valid-accounts|T1078 - Valid Accounts]] - obtenção de acesso administrativo via bypass - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - encadeamento com CVE-2024-9474 ## Impacto Um atacante que explore esta vulnerabilidade pode: - **Acesso administrativo completo:** controle total do firewall sem credenciais - **Alteração de configurações:** modificar regras de firewall, VPN e políticas de segurança - **Execução de código:** quando encadeada com CVE-2024-9474, permite RCE - **Comprometimento da rede:** desabilitar proteções e abrir caminhos para ataques internos **Produtos Afetados:** | Vendor | Produto | Versão Afetada | Versão com Fix | |--------|---------|----------------|----------------| | Palo Alto Networks | PAN-OS 10.2 | < 10.2.12-h2 | 10.2.12-h2 | | Palo Alto Networks | PAN-OS 11.0 | < 11.0.6-h1 | 11.0.6-h1 | | Palo Alto Networks | PAN-OS 11.1 | < 11.1.5-h1 | 11.1.5-h1 | | Palo Alto Networks | PAN-OS 11.2 | < 11.2.4-h1 | 11.2.4-h1 | ## Mitigação **Patch oficial:** - Advisory: [Palo Alto Networks Security Advisory CVE-2024-0012](https://security.paloaltonetworks.com/CVE-2024-0012) - Versões corrigidas: PAN-OS 10.2.12-h2, 11.0.6-h1, 11.1.5-h1, 11.2.4-h1 - Data de lançamento do patch: 2024-11-18 **Mitigação principal:** - **Restringir acesso à interface de gerenciamento** exclusivamente a IPs internos confiáveis - Bloquear acesso externo à porta de gerenciamento via ACL de rede - Implementar jump servers para acesso administrativo - Não expor a interface de gerenciamento PAN-OS à internet sob nenhuma circunstância **Mitigações temporárias:** - Implementar regras de firewall bloqueando acesso externo à interface de gerenciamento - Monitorar logs para requisições contendo o header `X-PAN-AUTHCHECK` - Ativar Threat Prevention signatures relacionadas ## Relevância LATAM/Brasil Os firewalls [[_palo-alto-networks|Palo Alto Networks]] são amplamente utilizados por grandes organizações brasileiras nos setores [[financial]], [[government]] e [[telecommunications|telecomúnicações]]. A exposição da interface de gerenciamento à internet é uma prática indevida porém comum, especialmente em ambientes com administração remota. A combinação de CVSS 9.8 com PoC público representa risco imediato para organizações brasileiras que não restrinjam adequadamente o acesso à interface de gerenciamento. ## IoCs Indicadores de comprometimento públicos: - Requisições HTTP para a interface de gerenciamento com header `X-PAN-AUTHCHECK: off` - Sessões administrativas criadas a partir de IPs não autorizados - Alterações de configuração não programadas nos firewalls - Criação de contas administrativas não reconhecidas Fonte: [Palo Alto Networks Advisory](https://security.paloaltonetworks.com/CVE-2024-0012) ## Referências - [NVD - CVE-2024-0012](https://nvd.nist.gov/vuln/detail/CVE-2024-0012) - [Palo Alto Networks Security Advisory](https://security.paloaltonetworks.com/CVE-2024-0012) - [Microsoft - Guidance for CVE-2024-0012](https://techcommunity.microsoft.com/blog/vulnerability-management/guidance-for-CVE-2024-0012-CVE-2024-9474-affecting-pan-os-using-microsoft-securi/4338896) - [CISA KEV Catalog](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) - [Wiz - CVE-2024-0012 Impact Analysis](https://www.wiz.io/vulnerability-database/cve/CVE-2024-0012) ## Notas Relacionadas **CVEs relacionados:** [[cve-2024-9474|CVE-2024-9474]] · [[cve-2024-3400|CVE-2024-3400]] **Atores explorando:** [[uta0218]] **Campanhas:** [[ir-pan-os-exploitation]] **TTPs relacionadas:** [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] · [[t1078-valid-accounts|T1078 - Valid Accounts]] · [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] **Setores em risco:** [[financial]] · [[government]] · [[telecommunications|telecomúnicações]] --- ## Detecção e Resposta > [!warning] Aviso sobre as regras abaixo > As regras e consultas a seguir são **exemplos e pontos de partida**. Devem ser revisadas, > testadas e adaptadas ao seu ambiente específico antes de serem implantadas em produção. > Falsos positivos e negativos são esperados - tuning contínuo é necessário. Valide sempre > contra sua telemetria antes de ativar alertas. ### Splunk SPL ```spl sourcetype=pan_log OR sourcetype=pan_system OR sourcetype=firewall_access ( (http_header="X-PAN-AUTHCHECK: off" OR header_value="off" AND header_name="X-PAN-AUTHCHECK") OR (uri_path="*.js.map" AND (uri_path LIKE "/php/%" OR uri_path LIKE "/ztp_%")) ) | stats count by src_ip, dest_ip, uri_path, http_method, _time | sort -count ``` Fonte de dados requerida: Logs HTTP da interface de gerenciamento PAN-OS (proxy, WAF ou NGFW logs ingerindo tráfego de gerenciamento), CEF via syslog. ```spl sourcetype=system_auth (user="cat" OR user="echo" OR user="rm" OR user="rsh" OR user="wget" OR user="curl") | stats count by user, action, src, _time | where count > 0 ``` Fonte de dados requerida: Logs de autenticação do sistema Linux (`/var/log/auth.log`) - detecta a criação de usuários com nomes de utilitários Unix, indicador de comprometimento via CVE-2024-9474 encadeado. ### Microsoft Sentinel (KQL) ```kql DeviceTvmSoftwareVulnerabilities | where CveId in ("CVE-2024-0012", "CVE-2024-9474") | summarize by DeviceName, DeviceId, strcat(OSPlatform, " ", OSVersion), SoftwareName, SoftwareVersion | sort by DeviceName asc ``` Tabela(s): `DeviceTvmSoftwareVulnerabilities` - identifica dispositivos com PAN-OS vulnerável no inventário MDE/Defender. ```kql CommonSecurityLog | where DeviceVendor == "Palo Alto Networks" | where RequestURL contains ".js.map" or Message contains "X-PAN-AUTHCHECK" or Message contains "ztp_gate.php" | where RequestMethod == "GET" or RequestMethod == "POST" | project TimeGenerated, SourceIP, DestinationIP, RequestURL, Message | summarize Attempts = count() by SourceIP, bin(TimeGenerated, 5m) | where Attempts > 0 | sort by TimeGenerated desc ``` Tabela(s): `CommonSecurityLog` - detecta requisições ao padrão de URI explorado (`.js.map`, `ztp_gate.php`) associado ao bypass de autenticação. ### Sigma Rule ```yaml title: Detect CVE-2024-0012 Exploitation - PAN-OS Management Interface Auth Bypass id: a3c7d2e1-f849-4b10-9e3f-dc0812345678 status: experimental description: > Detecta tentativas de exploração de CVE-2024-0012 - bypass de autenticação na interface de gerenciamento web do PAN-OS via header HTTP X-PAN-AUTHCHECK definido como "off". Frequentemente encadeado com CVE-2024-9474 para execução de código com privilégios de root (Operation Lunar Peek). references: - [[t1190-exploit-public-facing-application]] - [[t1078-001-default-accounts]] - [[t1068-exploitation-for-privilege-escalation]] - https://security.paloaltonetworks.com/CVE-2024-0012 - https://unit42.paloaltonetworks.com/CVE-2024-0012-CVE-2024-9474/ author: RunkIntel (baseado em pesquisa watchTowr e Unit 42) date: 2024-11-18 modified: 2025-03-22 logsource: category: webserver product: panos detection: selection_header: http_header|contains: 'X-PAN-AUTHCHECK: off' selection_uri: request_uri|endswith: '.js.map' request_uri|contains: - '/php/' - '/ztp_gate.php' - '/createRemoteAppwebSession.php' selection_user_injection: username|contains: - 'cat' - 'echo' - 'rm' - 'wget' - 'curl' - 'bash' condition: selection_header or (selection_uri) or selection_user_injection falsepositives: - Ferramentas de monitoramento que inspecionam a interface de gerenciamento PAN-OS - Scanners de vulnerabilidade autorizados no ambiente - Nomes de usuários legítimos que coincidem com utilitários Unix (extremamente improvável) level: high tags: - attack.initial_access - attack.t1190 - attack.defense_evasion - attack.t1078 - attack.privilege_escalation - attack.t1068 - cve.2024-0012 - cve.2024-9474 ``` ### EDR #### CrowdStrike Falcon Custom IOA Rule (Behavioral): Criar uma regra Custom IOA do tipo **Network Connection** monitorando conexões de saída incomuns originadas de processos com contexto de firewall PAN-OS - especialmente conexões a pools de Monero (XMRig) ou portas não-padrão (8089, 3939, 8880) associadas ao framework C2 Sliver, conforme observado na Operation Lunar Peek. Para hosts Windows/Linux gerenciados adjacentes, criar regra **Process Creation** detectando execução de `Kerbrute`, `Fscan`, `Traitor` ou `xmrig` originada de conexões de rede previamente estabelecidas a partir de IPs do firewall PAN-OS comprometido. Threat Graph Query (Falcon Data Replicator): ``` #event_simpleName=NetworkConnectIP4 | RemotePort IN (8089, 3939, 8880, 8084, 9999) | groupBy([SourceIPAddress, RemoteIP, RemotePort, ProcessName]) | join { #event_simpleName=ProcessRollup2 | CommandLine=/xmrig|kerbrute|fscan|sliver|traitor/ } [SourceIPAddress] ``` #### SentinelOne Deep Visibility Query: ``` EventType IN ("Process Creation", "Network Connection") AND ( ProcessCmd CONTAINS "xmrig" OR ProcessCmd CONTAINS "kerbrute" OR ProcessCmd CONTAINS "fscan" OR NetworkPort IN (8089, 3939, 8880, 8084, 9999) OR (ProcessCmd CONTAINS "curl" AND (NetworkPort != 80 AND NetworkPort != 443)) ) AND AgentOS = "linux" ``` #### Microsoft Defender for Endpoint (MDE) Advanced Hunting (KQL): ```kql DeviceNetworkEvents | where RemotePort in (8089, 3939, 8880, 8084, 9999) | where RemoteIPType == "Public" | where InitiatingProcessFileName has_any ("bash", "sh", "python3", "curl", "wget") | project Timestamp, DeviceName, RemoteIP, RemotePort, InitiatingProcessFileName | join kind=leftouter ( DeviceProcessEvents | where ProcessCommandLine has_any ("xmrig", "sliver", "kerbrute", "fscan", "traitor") | project DeviceId, Timestamp, ProcessCommandLine ) on DeviceId | sort by Timestamp desc ``` ### Firewall / Network #### Palo Alto Networks (PAN-OS) Ativar **Threat Prevention** na interface de gerenciamento com as seguintes Threat IDs em modo **block** (disponíveis a partir do conteúdo Applications and Threats versão 8915 ou posterior): - **Threat ID 95746, 95747, 95752, 95753, 95759, 95763** - assinaturas específicas para CVE-2024-0012 A principal mitigação de rede é restringir o acesso à interface de gerenciamento exclusivamente a IPs internos confiáveis via ACL. O header `X-PAN-AUTHCHECK: off` nunca deve ser roteado de redes externas à interface de gerenciamento. App-ID / Threat ID relevante: Threat IDs 95746, 95747, 95752, 95753, 95759, 95763 (Applications and Threats versão 8915+). #### Fortinet FortiGate Aplicar a assinatura IPS públicada pela FortiGuard para este CVE: IPS Signature: **`Palo.Alto.Networks.PAN-OS.Web.Interface.Authentication.Bypass`** (FortiGuard ID 56894) - disponível via atualização de conteúdo FortiGuard IPS. Configurar em modo **block** para segmentos de rede que acessam a porta de gerenciamento dos firewalls PAN-OS. Referência: [FortiGuard Encyclopedia - IPS 56894](https://www.fortiguard.com/encyclopedia/ips/56894)