THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT THÁNG 4 – 2024

Hàng tháng, NCS sẽ tổng hợp các thông tin bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài viết

1        Các mối đe dọa nâng cao – Advanced Threats

1.1      CoralRaider- Nhóm tin tặc có nguồn gốc từ Việt Nam đánh cắp dữ liệu tài chính trên khắp Châu Á.

Vào tháng 4/2024, Cisco Talos đã công bố báo cáo về 1 tác nhân đe dọa mới hoạt động ít nhất từ năm 2023, đặt tên là CoralTaider, nhắm vào việc đánh cắp thông tin xác thực, dữ liệu tài chính và tài khoản mạng xã hội của nạn nhân bao gồm tài khoản doanh nghiệp và quảng cáo. Nhóm tin tặc này được cho là có nguồn gốc từ Việt Nam, nhắm vào một số quốc gia Châu Á và Đông Nam Á bao gồm Ấn Độ, Trung Quốc, Hàn Quốc, Bangladesh, Pakistan, Indonesia và Việt Nam.

Dựa trên tin nhắn trên kênh bot Telegram C2 và ngôn ngữ ở tên bot, chuỗi PDB và các từ tiếng Việt được hard-code trong payload binaries cho thấy địa chỉ IP được đặt tại Hà Nội-Việt Nam.

Thiết bị Windows device ID (HWID) và địa chỉ IP 118[.]71[.]64[.]18 được phát hiện cũng được đặt tại Hà Nội.

Một số nhóm Telegram bằng tiếng Việt có tên “Kiếm tiền từ Facebook”, “Mua Bán Scan MINI” và “Mua Bán Scan Meta”. Qua giám sát cho thấy đây là thị trường ngầm, trao đổi dữ liệu của nạn nhân và một số hoạt động khác.

Ngoài ra, một bảng tính Excel được threat actor sử dụng để chứa dữ liệu của nạn nhân, có một số tab bằng tiếng Việt như “ bảng tính lương nhân viên”, “Chi phí quảng cáo”, “liên quan Paypal”…. Phiên bản đầu tiên được tạo vào tháng 05/2023, chúng đăng nhập và sử dụng tài khoản đó dưới tên “daloia krag”.

Trong chiến dịch, kẻ tấn công sử dụng các file Window shortcut file (LNK) làm vector khởi tạo ban đầu. Dưới đây là một số shortcut file filenames mà kẻ tấn công gửi cho nạn nhân:

  • 자세한 비디오 및 이미지.lnk
  • 設計內容+我的名片.lnk
  • run-dwnl-restart.lnk
  • index-write-upd.lnk
  • lnk
  • pdf.lnk
  • lnk
  • lnk
  • your-award.pdf.lnk
  • pdf.lnk
  • start-of-proccess.lnk
  • lan-onlineupd.lnk
  • lnk

Khi người dùng mở tệp LNK, file HTML application (HTA) sẽ được tải xuống từ máy chủ C&C và thực thi, Visual Basic được nhúng trong file HTA sẽ thực thi, VBscript có nhiệm vụ giải mã và thực thi nhiều đoạn mã Powershell khác thông qua nhiều stage. Các đoạn mã Powershell thực hiện giải mã payload, vượt qua các cơ chế bảo mật như UAC bypass hay gây khó khăn trong quá trình phân tích, một script Powershell khác có nhiệm vụ như là một Downloader tải và thực thi Rotbot

RotBot được cấu hình để liên lạc với Telegram bot và truy xuất XClient stealer malware và thực thi nó trong bộ nhớ, tạo điều kiện cho việc đánh cắp cookies, thông tin xác thực và thông tin tài chính từ các trình duyệt như Brave, Cốc Cốc, Google Chrome Microsoft Edge, Mozilla Firefox, Opera, dữ liệu của Discord và Telegram, screenshots. Ngoài ra, XClient cũng lấy dữ liệu tài khoản Facebook, Instagram, TikTok và Youtube, thu thập thông tin chi tiết về phương thức thanh toán và các quyền liên quan đến tài khoản quảng cáo và kinh doanh trên Facebook của nạn nhân.

 

Indicators of Compromise

51[.]79[.]208[.]192

199[.]34[.]27[.]196

139[.]99[.]23[.]9

14[.]225[.]210[.]98

14[.]225[.]210[.]97

14[.]225[.]210[.]209

14[.]225[.]210[.]222

doc-0s-44-docstext[.]googleusercontent[.]com

doc-10-44-docstext[.]googleusercontent[.]com

c29732d898dcf116f40eea3845d4e25a240e5840378985c7f192e0443a51a228

2c4ed97859060ea6ac5a8c2f605debf98257a96f0f3d2ddfaeb066f59a86d4af

075091793768885977c29a41a0ac591340ebafab26d2a65ce1dccb53997485a1

b2fd04602223117194181c97ca8692a09f6f5cfdbc07c87560aaab821cd29536

77acb85a28e79dc6479798c024282ddd54977dbff6ce40eb439b2a06ce9cb542

c84ff4fb6549c36ca0028e84ea8292ee3ae438254cddd63ef3d9ea769e0a1dfd

e9e9d5ab6307a9ce98b1b3450def66df7a00d9dc5af613434af8d9b9cb3f2a0f

0790bb235f27fa3843f086dbdaac314c2c1b857e3b2b94c2777578765a7894a0

28f827afd3bafa1e39526f84f8e1271c15d073c9d049a9bc8d03048c455dd33f

d60bb69da27799d822608902c59373611c18920c77887de7489d289ebf2bd53e

de8a5d881cfc913a24c846bec8c13f3ad98e60fde881352845d928015bc6a5a4

020d3d03ede3a80f1287ab58053f30ae7bfaf916ab0b1fc927f07b4b9d1f5c34

1db18d89a636f9d9307e51798c0545664fae38711a2a72139d62c7dbd6f17fe3

93c747fff1ec919d981aa4ad2e42cda3d76c9d0634707a62066dbadda1653d1c

4dc9fe269cd668894c7ea4dd797cba1d2a8df565e9bdd814e969247c94b39643

9bf684b010e4ec314d697acfac78c71ec24ba5f6e2c09b3be623ec62056aed02

42654394f29f2e8db878fc4fd1c59e41afcd0add3b93f7d2f47ea3295b2bc643

8d200892e4f1e68373e58e7cd7119fe26769fcf609636adc727df09f2377d1c2

a3299ecee7b3f06ca106f4c5b62bf1e0f28f227df71488583d2077c7e3ee01c2

19055fb87b9a98a75544a533ec4f14f36a09a130219b8a33a13cb6073751ff39

1.2      Phiên bản mới của JSOutProx nhắm mục tiêu vào các tổ chức tài chính khu vực APAC và MENA.

Resecurity đã phát hiện ra một phiên bản mới của JsoutProx, nhắm mục tiêu vào các tổ chức và dịch vụ tài chính khu vực APAC và MENA. Được xác định lần đầu tiên vào năm 2019 và được cho là do các chiến dịch lừa đảo của Solar Spider, nhằm triển khai JsoutProx RAT nhắm đến các tổ chức tài chính trên khắp Châu Phi, Trung Đông, Nam Á và Đông Nam Á. JSOutProx là một framework tấn công phức tạp sử dụng cả JavaScript và .NET, sử dụng tính năng (de)serialization để tương tác với module JavaScript chạy trên máy của nạn nhân. Sau khi thực thi, phần mềm độc hại cho phép framework tải các Plugin khác nhau nhằm thực hiện các hoạt động độc hại khác trên mục tiêu.

Nhiều khách hàng ngân hàng đã bị nhắm mục tiêu thông qua cuộc tấn công mạo danh,  bằng cách sử dụng tài khoản email “mike.will@my[.]com”. Kẻ lừa đảo đã sử dụng ứng dụng thông báo thanh toán SWIFT giả ( dành cho khách hành doanh nghiệp) và mẫu Moneygram (dành cho khách hàng cá nhân), sử dụng thông báo sai lệch để gây nhầm lẫn cho nạn nhân và thực thi mã độc.

Hầu hết các payload đều được lưu trữ trên Github, ngụy trang dưới dạng tệp PDF. Đến tháng 3/2024, Resecurity phát hiện mẫu mới được cho là cùng thuộc một nhóm, tuy nhiên chúng sử dụng Gitlab thay vì Github

hxxps://gitlab[.]com/godicolony4040/dox05/-

/raw/main/Transactions_Copy_65880983136606696162127010122_65890982136606

696162127010102.zip

hxxps://gitlab[.]com/godicolony4040/dox05/-

/raw/b540e3682457f2499b687fa0cd213b03ba77290c/Transactions_Copy_658809831

36606696162127010122_65890982136606696162127010102.zip

Attacker đã đăng ký nhiều tài khoản Gitlab để triển khai các payload độc hại. Sau khi mã độc được gửi thành công, kho lưu trữ sẽ bị xóa và tạo một kho lưu trữ mới.

Một số Payload độc hại của kẻ tấn công:

Mã độc JSOutProx RAT này dùng tính năng obfuscation trong JavaScript backdoor. Điểm mạnh của chúng là sử dụng modul Plugin, cho phép thực thi các Shell command, handle file uploads và downloads, chạy files, sửa đổi file systemm, chiếm các screenshots, điều khiển bàn phím và thao tác chuột. Điều đặc biệt là mã độc này sử dụng Cookie header field trong C2 (Command and Control).

Dựa trên phân tích của chiến dịch gần đây, các nạn nhân được xác định là các tổ chức chính phủ ở Ấn Độ, Đài Loan, Philippines, Lào, Singapore, Malaysia, Ấn Độ, KSA. Dựa vào vị trí và các mục tiêu bị tấn công, JSOutProx được nhận định là được phát triển bởi nhóm tấn công từ Trung Quốc.

Indicators of Compromise (IOCs)
Transaction_Ref_jpg.zip

d22f76e60a786f0c92fa20af1a1619b2

Transaction_Ref_jpg.js

89a088cd92b7ed59fd3bcc7786075130

MoneyGram_Global_Compliance_pdf.zip

9c9df8fbcef8acd1a5265be5fd8fdce9

MoneyGram_Global_Compliance_pdf.js

66514548cdffab50d1ea75772a08df3d

Swift_Copy_jpg.zip

81b9e7deb17e3371d417ad94776b2a26

Swift_Copy_jpg.js / TRXN-00000087312_pdf.js

bea8cf1f983120b68204f2fa9448526e

MoneyGram_AML_Compliance_review.pdf.zip

72461c94bd27e5b001265bbccc931534

MoneyGram_AML_Compliance_review.pdf.js

1bd7ce64f1a7cf7dc94b912ceb9533d0

Transaction_details_jpg.zip

f1858438a353d38e3e19109bf0a5e1be

Transaction_details_jpg.js

6764dbc4df70e559b2a59e913d940d4b

Transaction_Ref_01302024_jpg.zip

3a2104953478d1e60927aa6def17e8e7

Transaction_Ref_01302024_jpg.js

3d46a462f262818cada6899634354138

Transactions_Copy_65880983136606696162127010122_65890982136606696162127010102.zip

efad51e48d585b639d974fcf39f7ee07

Transactions_Copy_65880983136606696162127010122,65890982136606696162127010102.js

118b6673bd06c8eb082296a7b35f8fa5

C2C Communications

suedxcapuertggando.ddns[.]net:8843/ (185.244.30[.]218)

mdytreudsgurifedei.ddns[.]net:9708/ (offline)

kiftpuseridsfryiri.ddns[.]net:8907/ (offline)

hudukpgdgfytpddswq.ddns[.]net:8843/ (offline)

ykderpgdgopopfuvgt.ddns[.]net:7891/ (offline)

mdytreudsgurifedei.ddns[.]net (79.134.225[.]17)

mdytreudsgurifedei.ddns[.]net (79.134.225[.]17)

kiftpuseridsfryiri.ddns[.]net (79.134.225[.]17)

eopgupgdpopopfuupi.ddns[.]net (103.212.81[.]155)

ykderpgdgopopfuvgt.ddns[.]net (103.212.81[.]157)

hudukpgdgfytpddswq.ddns[.]net (185.244.30[.]218)

1.3      AcraneDoor – Chiến dich tấn công nhắm mục tiêu tới các thiết bị mạng

ArcaneDoor là một ví dụ về một chiến dịch nhắm tới các thiết bị thuộc perimeter network được hẫu thuẫn bởi các chính phủ với mục đích gián điệp. Việc chiếm được quyền truy cập trên các thiết bị này giúp các nhóm tấn công có thể định tuyến hoặc sửa đổi lưu lượng cũng như giám sát các thông tin trong quá trình giao tiếp thông qua mạng. Trong chiến dịch lần này, nhóm tấn công với định danh UAT4356 (theo Talos) hoặc  STORM-1849 (theo Microsoft) đã triển khai các tệp tin độc hại, sửa đổi cấu hình, thu thập cũng như đánh cắp thông tin trên thiết bị ASA của Cisco cũng như một số thiết bị của các hãng cung cấp khác.

Thông qua các cảnh báo về các hành vi bất thường trên thiết bị ASA vào đầu năm 2023, hầu hết liên quan đến network của đơn vị chính phủ, nhóm điều tra của Cisco đã xác định được hai lỗ hổng được kẻ tấn công lạm dụng trong chiến dịch nầy là CVE-2024-20353 và CVE-2024-20359. Tại thời điểm hiện tại, nhóm điều tra chưa xác định được chính xác vector khởi tạo truy cập trong sự cố này. Chỉ ghi nhận việc trên thiết bị bị chiếm quyền điều khiển ASA bị cài cắm mã độc

Line Dancer: mã độc được triển khai trong bộ nhớ

Trên thiết bị ASA, mã độc được triển khai vào trong bộ nhớ, cho phép kẻ tấn công upload và thực thi các payload shellcode. Lin Dancer được sử dụng để thực thi các câu lệnh trên thiết bị bị chiếm quyền, cụ thể:

Vô hiệu hóa syslog

Thực thi các command trong shellcode

Hook vào quá trình tạo crash dump, thiết bị sẽ bỏ qua việc tạo ra file crash dump và chuyển thẳng qua quá trình reboot nhằm hạn chế khả năng truy vết và phân tích

Hook tới AAA (Authentication, Authorization and Accounting) function nhằm cho phép tạo kết nối VPN tunnel bypass cơ chế của AAA đã được cấu hình trước đó.

Thu thập các kết quả của command và packet

Line Runner: Thiết lập Persistence

Trong thiết bị ASA, có tính năng cho phép pre-loading VPN clients và plugins. Khi khởi động, ASA được thiết kế để tìm kiếm các file có định dạng khớp với regex sau ^client_bundle[%w_-]*%.zip$. Nếu tệp nén này tồn tại, file csco_config.lua sẽ được thực thi, sau quá trình xử lý, tệp nén sẽ được xóa bỏ. Lạm dụng CVE-2024-20353, kẻ tấn công có thể khiến thiết bị ASA khởi động lại, trigger quá trình giải nén và thực thi các tệp tin độc hại. Line Runner là Lua webshell lạm dụng tính năng tự động cài đặt để các plug-in WebVPN được tự động khởi chạy, nhiệm vụ của webshell là thực thi dữ liệu được gửi thông qua HTTP(s)

Indicators of Compromise (IOCs)
192.36.57[.]181

185.167.60[.]85

185.227.111[.]17

176.31.18[.]153

172.105.90[.]154

185.244.210[.]120

45.86.163[.]224

172.105.94[.]93

213.156.138[.]77

89.44.198[.]189

45.77.52[.]253

103.114.200[.]230

212.193.2[.]48

51.15.145[.]37

89.44.198[.]196

131.196.252[.]148

213.156.138[.]78

121.227.168[.]69

213.156.138[.]68

194.4.49[.]6

185.244.210[.]65

216.238.75[.]155 

5.183.95[.]95

45.63.119[.]131

45.76.118[.]87

45.77.54[.]14

45.86.163[.]244

45.128.134[.]189   

89.44.198[.]16

96.44.159[.]46

103.20.222[.]218

103.27.132[.]69

103.51.140[.]101

103.119.3[.]230

103.125.218[.]198

104.156.232[.]22

107.148.19[.]88

107.172.16[.]208

107.173.140[.]111

121.37.174[.]139

139.162.135[.]12

149.28.166[.]244

152.70.83[.]47

154.22.235[.]13

154.22.235[.]17

154.39.142[.]47 

172.233.245[.]241

185.123.101[.]250

192.210.137[.]35 

194.32.78[.]183

205.234.232[.]196 

207.148.74[.]250

216.155.157[.]136

216.238.66[.]251

216.238.71[.]49

216.238.72[.]201

216.238.74[.]95

216.238.81[.]149

216.238.85[.]220

216.238.86[.]24 

2        CVE và các khuyến nghị bảo mật

2.1      Microsoft Patch Tuesday – April 2024

Trong tháng 04, Microsoft đã phát hành các bản vá cho 147 CVE mới trong các sản phẩm của Microsoft Windows và Windows Components; Office và Office Components; Azure; .NET Framework và Visual Studio; SQL Server; DNS Server; Windows Defender; Bitlocker; và Windows Secure Boot. Trong đó có 3 lỗ hổng được đánh giá mức độ Nghiêm trọng, 142 lỗ hổng được đánh giá là Important và 2 lỗ hổng được đánh giá ở mức độ Moderate. Dưới đây là các CVE nổi bật:

2.1.1       CVE-2024-29988 – SmartScreen Prompt Security Feature Bypass Vulnerability

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng cho phép kẻ tấn công vượt qua cơ chế bảo mật trong SmartScreen. Để khai thác lỗ hổng, kẻ tấn công gửi tệp độc hại cho nạn nhân qua mail hoặc tin nhắn, sau đó thuyết phục người dùng tương tác với tệp tin độc hại bằng các ứng dụng launcher không hiển thị giao diện.

Phiên bn nh hưởng:

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows 11 Version 23H2 for x64based Systems

Windows 11 Version 23H2 for ARM64based Systems

Windows 10 Version 22H2 for 32bit Systems

Windows 10 Version 22H2 for ARM64based Systems

Windows 10 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for ARM64based Systems

Windows 10 Version 21H2 for x64based Systems

Windows 10 Version 21H2 for ARM64based Systems

Windows 10 Version 21H2 for 32bit Systems

Windows 11 version 21H2 for ARM64based Systems

Windows 11 version 21H2 for x64based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64based Systems

Windows 10 Version 1809 for x64based Systems

Windows 10 Version 1809 for 32bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-29988

2.1.2       CVE-2024-20678– Remote Procedure Call Runtime Remote Code Execution Vulnerability.

CVSS: 8.8/10

Mô t: Tồn tại lỗ hổng thực thi mã từ xa trên Remote Procedure Call Runtime. Lỗ hổng này cho phép người dùng được xác thực có thể kích hoạt lỗ hổng mà không cần yêu cầu quản trị viên hay các các quyền nâng cao. Để khai thác lỗ hổng này, authenticated attacker cần gửi lệnh gọi RPC (Remote Procedure Call) tới RPC host, dẫn đến việc thực thi mã từ xa.

Phiên bn nh hưởng:

Windows Server 2019 (Server Core installation)

Windows Server 2019

Windows 10 Version 1809 for ARM64based Systems

Windows 10 Version 1809 for x64based Systems

Windows 10 Version 1809 for 32bit Systems

Windows Server 2012 R2 (Server Core installation)

Windows Server 2012 R2

Windows 11 Version 23H2 for x64based Systems

Windows 11 Version 23H2 for ARM64based Systems

Windows 10 Version 22H2 for 32bit Systems

Windows 10 Version 22H2 for ARM64based Systems

Windows Server 2022 (Server Core installation)

Windows Server 2022

Windows 10 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for x64based Systems

Windows 11 Version 22H2 for ARM64based Systems

Windows 10 Version 21H2 for x64based Systems

Windows 10 Version 21H2 for ARM64based Systems

Windows 10 Version 21H2 for 32bit Systems

Windows 11 version 21H2 for ARM64based Systems

Windows 11 version 21H2 for x64based Systems

Windows Server 2012 (Server Core installation)

Windows Server 2012

Windows Server 2008 R2 for x64based Systems Service Pack 1 (Server Core installation)

Windows Server 2008 R2 for x64based Systems Service Pack 1

Windows 10 for x64based Systems

Windows 10 for 32bit Systems

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2008 for x64based Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for x64based Systems Service Pack 2

Windows Server 2008 for 32bit Systems Service Pack 2 (Server Core installation)

Windows Server 2008 for 32bit Systems Service Pack 2

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows 10 Version 1607 for x64based Systems

Windows 10 Version 1607 for 32bit Systems

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20678

2.1.3       CVE-2024-20670 – Outlook for Windows Spoofing Vulnerability.

CVSS: 8.1/10

Mô t: Việc khai thác lỗ hổng cho phép tiết lộ các NTLM hash của tài khoản nạn nhân. Lỗ hổng này yêu cầu sự tương tác từ người dùng. Các kẻ tấn công thường tạo email chứa URL độc hại và gửi cho nạn nhân để tạo kết nối từ nạn nhân đến untrusted location nằm trong tầm kiểm soát của chúng. Hành động này dẫn đến rò rỉ các Net-NTLMv2 hash của nạn nhân sang một Network không đáng tin cậy. Kẻ tấn công sau đó có thể relay sang service khác với quyền xác thực là tài khoản của nạn nhân.

Phiên bn nh hưởng:

Outlook for Windows

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-20670

2.1.4       CVE-2024-26221 – Windows DNS Server Remote Code Execution Vulnerability.

CVSS: 7.2/10

Mô t: Tồn tại lỗ hổng cho phép thực thi mã từ xa trên Window DNS Server. Lỗ hổng này yêu cầu kẻ tấn công có đặc quyền truy vấn trong Domain Name Service (DNS). Nếu thời gian trong DNS queries được tính toán một cách chính xác, kẻ tấn công sẽ thực thi mã từ xa trên máy chủ mục tiêu.

Phiên bn nh hưởng:

Windows Server 2022 (Server Core installation)

Windows Server 2016 (Server Core installation)

Windows Server 2016

Windows Server 2022, 23H2 Edition (Server Core installation)

Windows Server 2022

Windows Server 2019 (Server Core installation)

Windows Server 2019

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-26221

2.2      Ứng Dụng Web Và Các Sản Phẩm Khác

2.2.1       CVE-2024-22246 – Unauthenticated Command Injection vulnerability in SD-WAN Edge

CVSS: 7.4/10

Mô t: Tồn tại lỗ hổng Command Inject, cho phép kẻ tấn công không cần xác thực thực thi mã từ xa thông qua việc có quyền truy cập vào giao diện Edge Router UI.

Phiên bn nh hưởng:

VMware SD-WAN Edge

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://www.vmware.com/security/advisories/VMSA-2024-0008.html

2.2.2       CVE-2024-3400 – PAN-OS: Command Injection Vulnerability in GlobalProtect Gateway.

CVSS: 10/10

Mô t:

Tồn tại lỗ hổng command injection cho phép kẻ tấn công không cần xác thực thực thi các đoạn mã tùy ý bằng quyền root. Khai thác thành công yêu cầu firewalls cấu hình GlobalProtect gateway và enable tính năng device telemetry

Phiên bn nh hưởng:

PAN-OS 11.1 < 11.1.2-h3

PAN-OS 11.0 < 11.0.4-h1

PAN-OS 10.2 < 10.2.9-h1

Khuyến nghị: Cài đặt cập nhật bản vá theo hướng dẫn của hãng:

https://security.paloaltonetworks.com/CVE-2024-3400