Exploatarea codului este acum disponibila pentru o vulnerabilitate de severitate maxima si activ exploatata in software-ul de firewall PAN-OS al Palo Alto Networks.
Cunoscuta sub numele de CVE-2024-3400, aceasta vulnerabilitate de securitate poate permite actorilor de amenintare neautentificati sa execute cod arbitrar ca root prin injectie de comenzi in atacuri de complexitate redusa pe firewall-urile vulnerabile PAN-OS 10.2, PAN-OS 11.0 si PAN-OS 11.1 daca telemetria dispozitivului si functia GlobalProtect (gateway sau portal) sunt activate.
In timp ce Palo Alto Networks a inceput sa elibereze hotfix-uri luni pentru a securiza firewall-urile nepatchate expuse la atacuri, vulnerabilitatea a fost exploatata in salbaticie ca un zero-day din 26 martie pentru a backdoor firewall-urile folosind malware-ul Upstyle, pivot catre retelele interne si a fura date de catre un grup de amenintare presupus a fi sponsorizat de stat si urmarit ca UTA0218.
Platforma de monitorizare a amenintarilor de securitate Shadowserver spune ca vede mai mult de 156.000 de instante de firewall PAN-OS pe Internet zilnic; cu toate acestea, nu ofera informatii despre cate sunt vulnerabile.
Vineri, cercetatorul de amenintari Yutaka Sejiyama a descoperit, de asemenea, peste 82.000 de firewall-uri vulnerabile la atacuri CVE-2024-34000, 40% dintre acestea fiind in Statele Unite.
O zi dupa ce Palo Alto Networks a inceput sa elibereze hotfix-uri CVE-2024-3400, watchTowr Labs a eliberat, de asemenea, o analiza detaliata a vulnerabilitatii si o exploatare de concept care poate fi folosita pentru a executa comenzi shell pe firewall-urile nepatchate.
„Asa cum putem vedea, injectam payload-ul nostru de injectie a comenzilor in valoarea cookie-ului SESSID – care, atunci cand un aparat Palo Alto GlobalProtect are telemetria activata – este apoi concatenat intr-un sir si in cele din urma executat ca o comanda shell,” a declarat watchTowr Labs.
Justin Elze, directorul de tehnologie al TrustedSec, a impartasit, de asemenea, o exploatare vazuta in atacuri reale, permitand atacatorilor sa descarce fisierul de configurare al firewall-ului.
Ca raspuns la atacuri, CISA a adaugat CVE-2024-3400 la catalogul sau de Vulnerabilitati Exploatate Cunoscute (KEV) vineri, ordonand agentiilor federale americane sa-si securizeze dispozitivele in termen de sapte zile pana la 19 aprilie.
Daca inca asteptati un hotfix, dezactivati functia de telemetrie a dispozitivului pe dispozitivele vulnerabile pana cand este disponibila o solutie de remediere.
In plus, daca aveti o abonament activ de ‘Prevenirea Amenintarilor’, puteti bloca atacurile in curs prin activarea mitigarii pe baza de prevenire a amenintarilor ‘Threat ID 95187’.
Leave a Reply