Palo Alto Networks a început să lanseze hotfix-uri pentru o vulnerabilitate zero-day care a fost exploatată activ începând din 26 martie pentru a backdoor firewalurile PAN-OS.
Această vulnerabilitate de securitate cu gravitate maximă (CVE-2024-3400) afectează firewalurile PAN-OS 10.2, PAN-OS 11.0 și PAN-OS 11.1 cu telemetrie de dispozitiv și GlobalProtect (gateway sau portal) activat.
Actorii de amenințare neautentificați o pot exploata remote pentru a obține execuție de cod root prin injectare de comenzi în atacuri de complexitate redusă care nu necesită interacțiunea utilizatorului.
„Palo Alto Networks este conștient de un număr limitat de atacuri care folosesc exploatarea acestei vulnerabilități,” a avertizat compania vineri când a dezvăluit zero-day-ul.
Compania a remediat acum vulnerabilitatea de securitate în versiunile hotfix emise pentru PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 și PAN-OS 11.1.2-h3. Vor fi lansate mai multe hotfix-uri pentru versiunile ulterioare ale PAN-OS în zilele următoare.
Conform avertismentului Palo Alto Networks, Cloud NGFW, aparatele Panorama și Prisma Access nu sunt expuse la atacuri prin această vulnerabilitate.
Administratorii care așteaptă în continuare un hotfix pot dezactiva funcția de telemetrie a dispozitivului pe dispozitivele vulnerabile până când este aplicat un patch. Cei cu o subscripție activă de ‘Prevenire a amenințărilor’ pot, de asemenea, să blocheze atacurile în curs de desfășurare activând mitigarea bazată pe ‘Identificarea amenințărilor 95187’.
Avertismentul lui Palo Alto Networks privind exploatarea activă a fost confirmat de firma de securitate Volexity, care a descoperit vulnerabilitatea zero-day și a detectat actori de amenințare care o folosesc pentru a backdoor dispozitivele PAN-OS folosind malware-ul Upstyle, a încălcat rețele și a furat date.
Volexity urmărește această activitate dăunătoare sub UTA0218 și crede că actorii de amenințare susținuți de stat sunt probabil în spatele acestor atacuri în curs.
„La momentul redactării, Volexity nu a putut lega activitatea de alte activități de amenințare,” a spus Volexity vineri.
„Volexity evaluează că este foarte probabil ca UTA0218 să fie un actor de amenințare susținut de stat pe baza resurselor necesare pentru a dezvolta și exploata o vulnerabilitate de acest fel, tipul de victime vizate de acest actor și capacitățile demonstrate pentru a instala backdoor-ul Python și a accesa ulterior rețelele victimelor.”
Cercetătorul de amenințări Yutaka Sejiyama a dezvăluit vineri că a găsit peste 82.000 de dispozitive PAN-OS expuse online și vulnerabile la atacuri CVE-2024-34000, 40% în Statele Unite.
CISA a adăugat CVE-2024-3400 în catalogul său de Vulnerabilități Exploatate Cunoscute (KEV), cerând agențiilor federale să-și securizeze dispozitivele aplicând regula de mitigare a amenințării sau dezactivând telemetria în termen de o săptămână până pe 19 aprilie.
Bug critic RCE în 92.000 de dispozitive NAS D-Link exploatat acum în atacuri
Palo Alto Networks avertizează despre zero-day-ul firewalului PAN-OS folosit în atacuri
CISA etichetează bug-ul RCE Microsoft SharePoint ca fiind exploatat activ
Exploit lansat pentru bug-ul RCE Fortinet folosit în atacuri, acum patch
Hackerii exploatează defectul critic RCE în constructorul de site-uri WordPress Bricks
Leave a Reply