Bilgisayar korsanları, yakın zamanda yamalı iki sıfır günlük güvenlik açıkından yararlanan saldırılarda binlerce Palo Alto Networks güvenlik duvarlarından ödün verdiler.
İki güvenlik kusuru, PAN-OS yönetimi web arayüzünde, uzaktan saldırganların yönetici ayrıcalıkları ve bir PAN-OS ayrıcalık artışı (CVE-2024-9474) kazanmak için sömürebileceği bir kimlik doğrulama bypass (CVE-2024-0012). Kök ayrıcalıklarına sahip güvenlik duvarındaki komutlar.
CVE-2024-9474 bu Pazartesi açıklanırken, şirket ilk olarak 8 Kasım'da müşterileri potansiyel bir RCE kusuru nedeniyle (geçen Cuma CVE-2024-0012 olarak etiketlenen) nedeniyle yeni nesil güvenlik duvarlarına erişimi kısıtlamaları konusunda uyardı.
Palo Alto Networks, "sınırlı sayıda cihaz yönetimi web arayüzünü" hedeflemek için iki kusuru zincirleyen devam eden saldırıları araştırıyor ve tehdit aktörlerinin kötü amaçlı yazılım bıraktığını ve tehlikeye atılan güvenlik duvarlarında komutlar yürüttüğünü, bir zincir istismarının muhtemelen mevcut olduğunu uyardı.
Şirket Çarşamba günü yaptığı açıklamada, "18 Kasım 2024'te bildirilen bu orijinal etkinlik, öncelikle anonim VPN hizmetleri için proxy/tünel trafiği olarak bilinen IP adreslerinden kaynaklandı." Dedi.
"Şu anda, Ünite 42, daha geniş tehdit faaliyetini sağlayacak olan CVE-2024-0012 ve CVE-2024-9474'ün kamuya açık bir şekilde kullanılabilir olduğunu fonksiyonel bir istismar zincirleme CVE-2024-0012 ve CVE-2024-9474'ü değerlendirir."
Şirket, saldırıların sadece "çok az sayıda PAN-OS" güvenlik duvarını etkilediğini söylese de, tehdit izleme platformu Shadowserver Çarşamba günü 2.700'den fazla savunmasız PAN-OS cihazını izlediğini bildirdi.
Shadowserver ayrıca tehlikeye atılan Palo Alto Networks güvenlik duvarlarının sayısını da izliyor ve bu devam eden kampanyanın başlangıcından bu yana yaklaşık 2.000'in saldırıya uğradığını söyledi.
CISA, bilinen sömürülen güvenlik açıkları kataloğuna her iki güvenlik açıkını da ekledi ve şimdi federal ajansların 9 Aralık'a kadar üç hafta içinde güvenlik duvarlarını yamasını gerektiriyor.
Kasım ayı başlarında, saldırganların Palo Alto Networks Expedition güvenlik duvarı yapılandırma geçiş aracında Palo Alto Networks Expedition güvenlik duvarı yapılandırma geçiş aracı olan başka bir kritik eksik kimlik doğrulama kusurunu (CVE-2024-5910) sömürdüğü konusunda uyardı. açık keşif sunucuları.
Bu yılın başlarında, şirketin müşterileri ayrıca maksimum bir şiddet daha yamalı ve 82.000'den fazla cihazı etkileyen PAN-OS güvenlik duvarı güvenlik açığı (CVE-2024-3400) aktif olarak sömürüldü. CISA ayrıca KEV kataloğuna CVE-2024-3400 ekledi ve federal ajanslardan yedi gün içinde cihazlarını güvence altına almalarını istedi.
Palo Alto Networks, müşterilerine Çarşamba günü müşterilerine dahili ağa erişimi kısıtlayarak güvenlik duvarlarının yönetim arayüzlerini güvence altına almalarını tavsiye etti.
Şirket, "Bu sorunların riski, önerilen en iyi uygulama dağıtım yönergelerine göre yalnızca güvenilir dahili IP adreslerine erişimi kısıtlayarak yönetim web arayüzüne erişimi güvence altına alırsanız büyük ölçüde azalmaktadır." Dedi.
Palo Alto Networks, saldırılarda kullanılan iki güvenlik duvarı sıfır gününü yamalar
Palo Alto Networks, saldırılarda sömürülen kritik RCE Zero-Day konusunda uyarıyor
VMware VCenter Server'da kritik RCE hatası artık saldırılarda kullanıldı
Palo Alto Networks, potansiyel PAN-OS RCE güvenlik açığı konusunda uyarıyor
CISA, saldırılarda sömürülen daha fazla Palo Alto Networks hatalarını uyarıyor
Kaynak: Bleeping Computer