Astăzi, CISA a avertizat că atacatorii exploatează o vulnerabilitate critică de autentificare lipsă în Palo Alto Networks Expedition, un instrument de migrație care poate ajuta la convertirea configurației firewall-ului de la Checkpoint, Cisco și alți furnizori la PAN-OS.
Această deficiență de securitate, urmărită ca și CVE-2024-5910, a fost remediată în iulie, iar actorii de amenințare o pot exploata remote pentru a reseta credențialele de administrator ale aplicației pe serverele Expedition expuse pe internet.
„Palo Alto Expedition conține o vulnerabilitate de autentificare lipsă care permite unui atacator cu acces la rețea să preia un cont de administrator Expedition și să acceseze potențial secrete de configurare, credențiale și alte date,” susține CISA.
Deși agenția de securitate cibernetică nu a oferit încă mai multe detalii despre aceste atacuri, cercetătorul de vulnerabilități de la Horizon3.ai, Zach Hanley, a lansat un exploit de concept în octombrie care poate ajuta la conectarea acestei deficiențe de resetare a administratorului cu o vulnerabilitate de injectare de comandă CVE-2024-9464 (remediată luna trecută) pentru a obține execuție arbitrară „neautentificată” a comenzilor pe serverele Expedition vulnerabile.
CVE-2024-9464 poate fi conectat cu alte deficiențe de securitate (de asemenea abordate de Palo Alto Networks în octombrie) pentru a prelua conturile de administrator de firewall și a fura firewall-urile PAN-OS.
Administratorii care nu pot instala imediat actualizările de securitate pentru a bloca atacurile sunt sfătuiți să restricționeze accesul la rețeaua Expedition doar pentru utilizatorii, gazdele sau rețelele autorizate.
„Toate numele de utilizator, parolele și cheile API Expedition ar trebui rotite după actualizarea la versiunea reparată a Expedition. Toate numele de utilizator, parolele și cheile API ale firewall-urilor procesate de Expedition ar trebui rotite după actualizare,” avertizează compania.
Palo Alto Networks nu a actualizat încă avertizarea sa de securitate pentru a avertiza clienții asupra atacurilor în curs de CVE-2024-5910.
CISA a adăugat, de asemenea, vulnerabilitatea în Catalogul său de Vulnerabilități Exploatate Cunoscute joi. Conform directivei operaționale obligatorii (BOD 22-01) emisă în noiembrie 2021, agențiile federale americane trebuie să-și securizeze acum serverele vulnerabile Palo Alto Networks Expedition din rețelele lor împotriva atacurilor în termen de trei săptămâni, până pe 28 noiembrie.
„Aceste tipuri de vulnerabilități sunt vectori de atac frecvenți pentru actorii cibernetici răuvoitori și prezintă riscuri semnificative pentru întreprinderea federală,” a avertizat agenția de securitate cibernetică.
Palo Alto Networks avertizează asupra bug-urilor de preluare a controlului firewall-ului cu exploit public
Google rezolvă două zero-day-uri Android utilizate în atacuri direcționate
Malware-ul personalizat „Pygmy Goat” folosit în hack-ul Sophos Firewall pe rețeaua guvernamentală
Defectul de execuție a comenzii Microsoft SharePoint exploatat pentru a pătrunde în rețeaua corporativă
Hackerii vizează o vulnerabilitate critică zero-day în camerele PTZ
Leave a Reply