Ранее в этом месяце поставщик решений безопасности предупредил о неподтвержденной уязвимости в PAN-OS. Запись CVE и исправление появились 10 дней спустя.
Getty Plus через Getty Images
Краткий обзор:
- Клиенты Palo Alto Networks столкнулись с еще одной активно эксплуатируемой уязвимостью нулевого дня — критической уязвимостью обхода аутентификации в системе безопасности поставщика Операционная система PAN-OS, на которой работают некоторые брандмауэры компании, заявила компания в понедельник в обновленном бюллетене по безопасности.
- «Palo Alto Networks выявила активность угроз, направленных на ограниченное количество веб-интерфейсов управления устройствами», — заявила фирма Unit 42, занимающаяся анализом угроз, в понедельник в кратком обзоре угроз. «Наблюдаемая активность после эксплуатации включает интерактивное выполнение команд и установку вредоносного ПО, такого как веб-шеллы, на брандмауэр».
- Уязвимость CVE-2024-0012 имеет оценку CVSS 9,3 и позволяет неаутентифицированному злоумышленнику с сетевым доступом к веб-интерфейсу управления получить привилегии администратора или вмешаться в конфигурацию. Активная эксплуатация CVE также может позволить злоумышленникам эксплуатировать другие аутентифицированные уязвимости повышения привилегий, такие как CVE-2024-9474, которая имеет оценку CVSS 6,9.
Dive Insight:
Эксплойты, поражающие межсетевые экраны клиентов Palo Alto Networks, следуют за тремя активно эксплуатируемыми уязвимостями нулевого дня в Expedition, инструменте компании для миграции клиентов от других поставщиков, в начале этого месяца. Злоумышленники также поразили максимальную серьезность нулевого дня в PAN-OS в начале этого года.
Компания Palo Alto Networks первоначально опубликовала рекомендацию по безопасности о неподтвержденной уязвимости в интерфейсе управления PAN-OS 8 ноября. Компания подтвердила наблюдаемую активность угроз, направленных на уязвимость, в четверг и добавила индикаторы компрометации в пятницу.
В понедельник уязвимости был присвоен CVE, и Palo Alto Networks выпустила исправление.
Агентство по кибербезопасности и безопасности инфраструктуры добавило CVE-2024-0012 и CVE-2024-9474 в свой каталог известных эксплуатируемых уязвимостей в понедельник. Агентство выпустило и обновило оповещение, указывающее на предупреждения Palo Alto Networks, высказанные ранее в этом месяце, и руководство поставщика по усилению защиты сетевых устройств.
«Эти уязвимости могут позволить злоумышленникам взять под контроль брандмауэры, если у них есть доступ к интерфейсу управления; интерфейсы управления, открытые для доступа в Интернет, подвергаются значительно более высокому риску», — сказал Стивен Тай, старший менеджер по глобальным кризисным коммуникациям и управлению репутацией в Palo Alto Networks, в электронном письме в понедельник.
«Мы активно работаем с затронутыми клиентами и призываем все организации немедленно определить, находятся ли их брандмауэры под угрозой, и применить исправления безопасности», — сказал Тай.
Компания Palo Alto Networks, которая отслеживает первоначальную эксплуатацию CVE-2024-0012 как операцию Lunar Peek, заявила, что «очень небольшое количество» устройств PAN-OS развернуто с веб-интерфейсами управления, открытыми для Интернета или других ненадежных сетей.
По данным Shadowserver, по состоянию на воскресенье в Интернете было открыто более 6500 интерфейсов управления PAN-OS, что меньше, чем 11 000 11 ноября.