Palo Alto Networks 的 Panorama 软件存在证书强度不足的漏洞（CVE-2024-3387），攻击者可以利用该漏洞执行中间人攻击，窃取 Panorama 管理服务器与其管理的防火墙之间的加密通信。攻击者可以使用足够的计算资源破解加密通信，从而暴露管理服务器和防火墙之间共享的敏感信息。

😄 **漏洞概述:** CVE-2024-3387 影响 Palo Alto Networks Panorama 软件，该漏洞允许攻击者执行中间人攻击，窃取 Panorama 管理服务器与其管理的防火墙之间的加密通信。攻击者可以使用足够的计算资源破解加密通信，从而暴露管理服务器和防火墙之间共享的敏感信息。 该漏洞源于 Panorama 软件中使用的设备证书强度不足，攻击者可以利用该弱点进行中间人攻击，获取加密流量并解密其中的敏感信息。

😎 **受影响的版本:** 该漏洞影响 Panorama 软件的多个版本，包括 PAN-OS 10.1、10.2 和 11.0 的部分版本。以下版本不受影响：PAN-OS 9.0、9.1、11.1 和所有云 NGFW 版本。 具体来说，受影响的版本包括： * PAN-OS 10.1：小于 10.1.12 的版本 * PAN-OS 10.2：小于 10.2.7-h3 的版本，以及小于 10.2.8 的版本 * PAN-OS 11.0：小于 11.0.4 的版本

🤔 **解决方案:** Palo Alto Networks 已发布针对该漏洞的修复程序，建议用户尽快更新到以下版本或更高版本： * PAN-OS 10.1：10.1.12 或更高版本 * PAN-OS 10.2：10.2.7-h3 或更高版本，以及 10.2.8 或更高版本 * PAN-OS 11.0：11.0.4 或更高版本 更新到最新版本可以有效修复该漏洞，并确保系统安全。

🤨 **漏洞利用:** 截至目前，Palo Alto Networks 尚未发现任何恶意利用该漏洞的迹象。 尽管如此，用户仍需警惕并及时更新系统，以防攻击者利用该漏洞进行攻击。

🥳 **预防措施:** 用户应及时更新 Panorama 软件到最新版本，并定期检查系统安全，以确保系统安全。 此外，用户还可以采取一些安全措施，例如： * 使用强密码 * 定期更改密码 * 启用双重身份验证 * 安装最新的安全补丁 * 避免使用弱证书

Palo Alto Networks Security Advisories /CVE-2024-3387CVE-2024-3387 PAN-OS: Weak Certificate Strength in Panorama Software Leads to Sensitive Information DisclosureUrgencyMODERATEResponse EffortMODERATERecoveryAUTOMATICValue DensityCONCENTRATEDAttack VectorNETWORKAttack ComplexityHIGHAttack RequirementsPRESENTAutomatableNOUser InteractionPASSIVEProduct ConfidentialityHIGHProduct IntegrityNONEProduct AvailabilityNONEPrivileges RequiredNONESubsequent ConfidentialityNONESubsequent IntegrityNONESubsequent AvailabilityNONENVDJSON Published2024-04-10 Updated2024-04-10ReferencePAN-200047Discoveredin production useDescriptionA weak (low bit strength) device certificate in Palo Alto Networks Panorama software enables an attacker to perform a meddler-in-the-middle (MitM) attack to capture encrypted traffic between the Panorama management server and the firewalls it manages. With sufficient computing resources, the attacker could break encrypted communication and expose sensitive information that is shared between the management server and the firewalls.Product StatusVersionsAffectedUnaffectedCloud NGFW NoneAllPAN-OS 11.1NoneAllPAN-OS 11.0< 11.0.4 on Panorama>= 11.0.4 on PanoramaPAN-OS 10.2< 10.2.7-h3 on Panorama, < 10.2.8 on Panorama>= 10.2.7-h3 on Panorama, >= 10.2.8 on PanoramaPAN-OS 10.1< 10.1.12 on Panorama>= 10.1.12 on PanoramaPAN-OS 9.1NoneAllPAN-OS 9.0NoneAllPrisma Access NoneAllSeverity:MEDIUMCVSSv4.0Base Score:6 (CVSS:4.0/AV:N/AC:H/AT:P/PR:N/UI:P/VC:H/VI:N/VA:N/SC:N/SI:N/SA:N/AU:N/R:A/V:C/RE:M/U:Amber)Exploitation StatusPalo Alto Networks is not aware of any malicious exploitation of this issue.Weakness TypeCWE-326 Inadequate Encryption StrengthSolutionThis issue is fixed on Panorama in PAN-OS 10.1.12, PAN-OS 10.2.7-h3, PAN-OS 10.2.8, PAN-OS 11.0.4, and all later PAN-OS versions.AcknowledgmentsPalo Alto Networks thanks one of our customers for discovering and reporting this issue.Timeline2024-04-10Initial publication