cve-2024-9474 - RunkIntel

# CVE-2024-9474 ## Visão Geral CVE-2024-9474 é uma vulnerabilidade de **escalonamento de privilégios** no [[pan-os]], o sistema operacional dos firewalls [[_palo-alto-networks|Palo Alto Networks]]. A falha permite que um administrador web de baixo privilégio execute comandos como root no firewall, obtendo controle total sobre o dispositivo. É explorada em cadeia com [[cve-2024-0012|CVE-2024-0012]] - uma vulnerabilidade de authentication bypass na interface de gerenciamento - que fornece o acesso administrativo inicial necessário para acionar CVE-2024-9474. A Palo Alto Networks atribuiu a exploração em produção ao cluster [[unc5820]], rastreado pela Mandiant. A combinação das duas CVEs permite que um atacante remoto, sem qualquer credencial, obtenha acesso root completo a firewalls PAN-OS com a interface de gerenciamento acessível via internet. A Palo Alto Networks emitiu alerta urgente em novembro de 2024, recomendando isolamento imediato da interface de gerenciamento. Organizações que não haviam seguido as boas práticas de segmentação de rede (interface de gerenciamento exposta públicamente) foram as mais afetadas. **Mitigação:** Atualizar para PAN-OS 10.2.12+, 11.1.5+ ou 11.2.4+. Criticamente: restringir acesso à interface de gerenciamento (porta 443/TCP) exclusivamente a endereços IP de gerenciamento internos - nunca expor à internet. Verificar logs de acesso à interface de gerenciamento por atividade anômala. Checar integridade do sistema com comandos de verificação fornecidos na advisory. > [!latam] Contexto LATAM > Firewalls Palo Alto Networks são amplamente utilizados por grandes empresas, bancos e agências governamentais no Brasil e América Latina como perimetro de segurança primário. Organizações que expunham a interface de gerenciamento PAN-OS diretamente à internet - prática observada especialmente em filiais e subsidiárias regionais de empresas multinacionais - são as mais expostas. Um firewall comprometido permite ao atacante não apenas monitorar tráfego de rede, mas também modificar políticas de segurança, criar túneis VPN persistentes e mover-se lateralmente para toda a infraestrutura interna. Para empresas do setor financeiro brasileiro, comprometimento de firewall perimetral pode implicar violações de normas BACEN e obrigações de notificação à ANPD. A combinação PAN-OS comprometido + interface de gerenciamento exposta à internet é tratada como incidente crítico (P1) por qualquer CERT corporativo. ## Referências - [NVD - CVE-2024-9474](https://nvd.nist.gov/vuln/detail/CVE-2024-9474) - [Palo Alto Networks Security Advisory](https://security.paloaltonetworks.com/CVE-2024-9474) - [Palo Alto Threat Brief - Operation Lunar Peek](https://unit42.paloaltonetworks.com/CVE-2024-0012-pan-os-vulnerabilities/) - [CISA KEV Entry](https://www.cisa.gov/known-exploited-vulnerabilities-catalog) ## Notas Relacionadas - [[cve-2024-0012|CVE-2024-0012]] - authentication bypass companion, explorada primeiro na cadeia - [[unc5820]] - cluster identificado pela Mandiant explorando a combinação - [[ir-pan-os-exploitation]] - campanha de exploração em produção - [[_palo-alto-networks|Palo Alto Networks]] - vendor afetado - [[t1190-exploit-public-facing-application|T1190 - Exploit Public-Facing Application]] - acesso inicial via interface de gerenciamento - [[t1068-exploitation-privilege-escalation|T1068 - Exploitation for Privilege Escalation]] - escalonamento de privilégios para root - [[t1505-003-web-shell|T1505.003 - Server Software Component: Web Shell]] - implantação pós-exploit - [[government]] - setor-alvo frequente em campanhas via firewall comprometido --- ## Detecção e Resposta > [!warning] Aviso sobre as regras abaixo > As regras e consultas a seguir são **exemplos e pontos de partida**. Devem ser revisadas, > testadas e adaptadas ao seu ambiente específico antes de serem implantadas em produção. > Falsos positivos e negativos são esperados - tuning contínuo é necessário. Valide sempre > contra sua telemetria antes de ativar alertas. ### Splunk SPL ```spl index=pan_logs sourcetype="pan:system" OR sourcetype="pan:traffic" (log_subtype="auth" OR log_subtype="config") (src_ip!="10.0.0.0/8" AND src_ip!="192.168.0.0/16" AND src_ip!="172.16.0.0/12") (url="/php/utils/router.php" OR url="*/php/*" OR msg="*web-shell*" OR msg="*cmd*exec*") | eval alerta="Acesso suspeito à interface de gerenciamento PAN-OS - CVE-2024-9474/CVE-2024-0012" | table _time, host, src_ip, url, msg, admin, alerta ``` Complementar - detecção de web shell e execução de comandos pós-exploit: ```spl index=pan_logs sourcetype="pan:system" (msg="*y.sh*" OR msg="*1.txt*" OR msg="*palofd*" OR msg="*curl*" OR msg="*wget*") | eval indicador="Download de payload pós-exploit em PAN-OS - IOC Operation Lunar Peek" | table _time, host, src_ip, msg, indicador ``` Fonte de dados requerida: PAN-OS System Logs, Traffic Logs, Threat Logs exportados via Syslog para Splunk ### Microsoft Sentinel (KQL) ```kql // Detecta acesso anômalo à interface de gerenciamento PAN-OS de IPs externos CommonSecurityLog | where TimeGenerated > ago(7d) | where DeviceVendor == "Palo Alto Networks" | where DeviceProduct == "PAN-OS" | where Activity contains "web" or Activity contains "auth" or Activity contains "config" | where not(ipv4_is_private(SourceIP)) | where RequestURL contains "/php/" or RequestURL contains "router.php" or Message contains "web-shell" or Message contains "cmd" | project TimeGenerated, DeviceName, SourceIP, DestinationIP, RequestURL, Activity, Message, LogSeverity | order by TimeGenerated desc ``` ```kql // Caça downloads de payloads pós-exploit conhecidos da Operation Lunar Peek CommonSecurityLog | where TimeGenerated > ago(30d) | where DeviceVendor == "Palo Alto Networks" | where Message has_any ("y.sh", "1.txt", "palofd", "linux.sh", "repositorylinux") or Message contains "curl/7.61.1" or Message contains "Wget/1.19.5" | project TimeGenerated, DeviceName, SourceIP, Message, Activity ``` Tabela(s): `CommonSecurityLog`, `Syslog` ### Sigma Rule ```yaml title: Detect CVE-2024-9474 PAN-OS Management Interface Exploitation id: 5d8b3e7f-1a92-4c45-b678-ef0123456789 status: experimental description: > Detecta tentativas de exploração de CVE-2024-9474 (privilege escalation) encadeada com CVE-2024-0012 (authentication bypass) na interface de gerenciamento do PAN-OS. Indicadores: requisições HTTP de IPs externos para endpoints PHP da management interface, especialmente /php/utils/router.php, e downloads de payloads via curl/wget pós-exploit. references: - [[t1190-exploit-public-facing-application]] - https://unit42.paloaltonetworks.com/CVE-2024-0012-CVE-2024-9474/ - https://security.paloaltonetworks.com/CVE-2024-9474 logsource: category: webserver product: panos detection: selection_mgmt_access: cs-uri-stem|contains: - '/php/utils/router.php' - '/php/' c-ip|not_cidr: - '10.0.0.0/8' - '172.16.0.0/12' - '192.168.0.0/16' selection_payload: cs-uri-query|contains: - 'cmd=' - 'exec=' - 'shell=' condition: selection_mgmt_access or (selection_mgmt_access and selection_payload) falsepositives: - Administradores legítimos acessando a interface de gerenciamento de IPs externos via VPN (deve ser filtrado por IP de origem permitido) - Scanners de vulnerabilidade internos level: high tags: - attack.initial_access - attack.t1190 - attack.privilege_escalation - attack.t1068 - attack.persistence - attack.t1505.003 - cve.2024-9474 - cve.2024-0012 ``` ### EDR #### CrowdStrike Falcon Custom IOA Rule (Behavioral): Regras específicas para PAN-OS não estão disponíveis públicamente no CrowdStrike Falcon, pois o sistema operacional PAN-OS não executa agente EDR tradicional. A detecção deve ser feita via análise de logs de syslog do PAN-OS integrados ao Falcon LogScale (Humio). Monitorar no LogScale por requisições à management interface originando de IPs não-RFC1918. Threat Graph Query (Falcon Data Replicator): Regras específicas não disponíveis públicamente para este CVE no contexto de PAN-OS. Consulte o vendor advisory e os IOCs públicados pela Unit 42 no repositório `unit42-timely-threat-intel` no GitHub para hashes e IPs conhecidos da Operation Lunar Peek. #### SentinelOne Deep Visibility Query: Regras específicas não disponíveis públicamente para PAN-OS no SentinelOne (PAN-OS não executa agente SentinelOne). Para ambientes com integração de logs de rede no SentinelOne Singularity: ``` EventType = "DNS" AND DstDomain ContainsCIS ("repositorylinux.org", "oast.pro", "zephyr.herominers.com") ``` #### Microsoft Defender for Endpoint (MDE) Advanced Hunting (KQL): ```kql // Detecta conexões de rede para infraestrutura C2 conhecida da Operation Lunar Peek DeviceNetworkEvents | where TimeGenerated > ago(30d) | where RemoteUrl has_any ( "repositorylinux.org", "us.zephyr.herominers.com", "oast.pro" ) | project Timestamp, DeviceName, LocalIP, RemoteIP, RemoteUrl, RemotePort, InitiatingProcessFileName, InitiatingProcessCommandLine | order by Timestamp desc ``` ### Firewall / Network #### Palo Alto Networks (PAN-OS) A mitigação mais crítica é **restringir acesso à interface de gerenciamento** (porta 443/TCP) exclusivamente a endereços IP internos de gerenciamento dedicados. Nunca expor a management interface à internet. Configurar no PAN-OS: **Device** → **Setup** → **Management** → **Management Interface Settings** → definir "Permitted IP Addresses". Verificar integridade do sistema com: ``` > request system software verify > show system files ``` App-ID / Threat ID relevante: Criar Security Policy zone "management" com permitted-ips configurado; habilitar Threat Prevention com "Best Practice" profile na management zone. #### Fortinet FortiGate Não aplicável diretamente - CVE-2024-9474 afeta exclusivamente PAN-OS. Como referência geral de boas práticas para interfaces de gerenciamento de firewalls: restringir acesso administrative (HTTPS, SSH) exclusivamente a endereços IP de gerenciamento internos via trusted hosts no FortiGate. IPS Signature: Não aplicável para PAN-OS em FortiGate. Verificar FortiGuard para assinaturas de proteção contra exploits de interfaces de gerenciamento de firewalls de terceiros.