Aproximativ 22,500 de dispozitive de firewall Palo Alto GlobalProtect expuse sunt susceptibile de a fi vulnerabile la defectul CVE-2024-3400, o vulnerabilitate critică de injecție de comenzi care a fost exploatată activ în atacuri începând cu cel puțin 26 martie 2024.
CVE-2024-3400 este o vulnerabilitate critică care afectează anumite versiuni ale PAN-OS de la Palo Alto Networks în funcția GlobalProtect, permițând atacatorilor neautentificați să execute comenzi cu privilegii de root folosind injecția de comenzi declanșată de crearea arbitrară a fișierelor.
Defectul a fost dezvăluit de Palo Alto Networks pe 12 aprilie, iar avertizarea de securitate îndeamnă administratorii de sistem să aplice imediat măsurile de atenuare furnizate până când un patch va fi disponibil.
În funcție de versiunea PAN-OS, patch-urile au fost făcute disponibile între 14 și 18 aprilie 2024, astfel încât expunerea la riscurile post-divulgare a durat două până la șase zile. S-a dezvăluit ulterior că măsura de atenuare a dezactivării telemetriei de la Palo Alto nu ar proteja dispozitivele și că singura soluție era să se aplice patch-urile de securitate.
Cercetătorii Volexity, care au descoperit inițial exploatarea, au dezvăluit că actorii de amenințare sprijiniți de stat urmăriți ca ‘UTA0218’ au exploatat defectul pentru a infecta sistemele cu un backdoor personalizat numit ‘Upstyle’.
Mai devreme în această săptămână, cercetătorii au împărtășit detalii tehnice și un exploit de concept pentru CVE-2024-3400, demonstrând cât de ușor atacatorii neautentificați ar putea executa comenzi ca root pe terminalele neactualizate.
Disponibilitatea publică a exploit-ului a permis numeroșilor actori de amenințare să-și conducă propriile atacuri, lăsând administratorii de sistem fără margini de întârziere a actualizării.
Scanerele Greynoise au confirmat această exploatare crescută, arătând un număr mai mare de adrese IP unice care încearcă să exploateze defectul CVE-2024-3400.
În ciuda urgenței situației, serviciul de monitorizare a amenințărilor ShadowServer Foundation spune că mai există aproximativ 22,500 de instanțe care sunt ‘posibil vulnerabile’ până la 18 aprilie 2024.
Cele mai multe dispozitive sunt localizate în Statele Unite (9,620), urmate de Japonia (960), India (890), Germania (790), Marea Britanie (780), Canada (620), Australia (580) și Franța (500).
Mai devreme în această săptămână, ShadowServer a raportat că a văzut peste 156,000 de instanțe de firewall PAN-OS expuse pe internet fără a distinge câte dintre acestea ar putea fi vulnerabile la atacuri.
Vineri trecut, cercetătorul de amenințări Yutaka Sejiyama a efectuat propriile scanări și a raportat observând 82,000 de firewall-uri, pe care a susținut că sunt vulnerabile la CVE-2024-34000.
Dacă estimările cercetătorului erau corecte, aproximativ 73% dintre toate sistemele PAN-OS expuse au fost actualizate în decurs de o săptămână.
Cei care nu au luat nicio acțiune sunt sfătuiți să urmeze acțiunile sugerate în avertizarea de securitate a Palo Alto, care a fost actualizată de mai multe ori începând de săptămâna trecută cu informații noi și instrucțiuni privind depistarea activităților suspecte.
Leave a Reply