Palo Alto Networks PAN-OS GlobalProtect 是Palo Alto Networks 的一款防火墙产品。

2024年4月12日，官方披露 CVE-2024-3400 Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞。在特定PAN-OS版本和不同功能配置下，未经身份验证的攻击者可能利用此漏洞在防火墙上以root权限执行任意代码。

经初步分析，该漏洞影响同时开启了GlobalProtect gateway/portal 和 device telemetry 功能的PAN-OS。

CVE-2024-3400 Palo Alto Networks PAN-OS GlobalProtect 命令注入漏洞 严重

PAN-OS 10.2.x < 10.2.9-h1

PAN-OS 11.0.x < 11.0.4-h1

PAN-OS 11.1.x < 11.1.2-h3

1、官方将针对具体受影响版本发布补丁更新，建议更新升级，详情可见  https://security.paloaltonetworks.com/CVE-2024-3400

2、临时关闭device telemetry功能，在 Device > Setup > Telemetry 界面取消选中Enable Telemetry，待更新升级后再开启。

3、利用安全组功能设置其仅对可信地址开放。

https://security.paloaltonetworks.com/CVE-2024-3400

https://unit42.paloaltonetworks.com/cve-2024-3400/

https://avd.aliyun.com/detail?id=AVD-2024-3400