Ранее в этом месяце поставщик решений безопасности предупредил о неподтвержденной уязвимости в PAN-OS. Запись CVE и исправление появились 10 дней спустя.

Клиенты Palo Alto Networks столкнулись с еще одной активно эксплуатируемой уязвимостью нулевого дня

Getty Plus через Getty Images

Краткий обзор:

  • Клиенты Palo Alto Networks столкнулись с еще одной активно эксплуатируемой уязвимостью нулевого дня — критической уязвимостью обхода аутентификации в системе безопасности поставщика Операционная система PAN-OS, на которой работают некоторые брандмауэры компании, заявила компания в понедельник в обновленном бюллетене по безопасности.
  • «Palo Alto Networks выявила активность угроз, направленных на ограниченное количество веб-интерфейсов управления устройствами», — заявила фирма Unit 42, занимающаяся анализом угроз, в понедельник в кратком обзоре угроз. «Наблюдаемая активность после эксплуатации включает интерактивное выполнение команд и установку вредоносного ПО, такого как веб-шеллы, на брандмауэр».
  • Уязвимость CVE-2024-0012 имеет оценку CVSS 9,3 и позволяет неаутентифицированному злоумышленнику с сетевым доступом к веб-интерфейсу управления получить привилегии администратора или вмешаться в конфигурацию. Активная эксплуатация CVE также может позволить злоумышленникам эксплуатировать другие аутентифицированные уязвимости повышения привилегий, такие как CVE-2024-9474, которая имеет оценку CVSS 6,9.

Dive Insight:

Эксплойты, поражающие межсетевые экраны клиентов Palo Alto Networks, следуют за тремя активно эксплуатируемыми уязвимостями нулевого дня в Expedition, инструменте компании для миграции клиентов от других поставщиков, в начале этого месяца. Злоумышленники также поразили максимальную серьезность нулевого дня в PAN-OS в начале этого года.

Компания Palo Alto Networks первоначально опубликовала рекомендацию по безопасности о неподтвержденной уязвимости в интерфейсе управления PAN-OS 8 ноября. Компания подтвердила наблюдаемую активность угроз, направленных на уязвимость, в четверг и добавила индикаторы компрометации в пятницу.

В понедельник уязвимости был присвоен CVE, и Palo Alto Networks выпустила исправление.

Агентство по кибербезопасности и безопасности инфраструктуры добавило CVE-2024-0012 и CVE-2024-9474 в свой каталог известных эксплуатируемых уязвимостей в понедельник. Агентство выпустило и обновило оповещение, указывающее на предупреждения Palo Alto Networks, высказанные ранее в этом месяце, и руководство поставщика по усилению защиты сетевых устройств.

«Эти уязвимости могут позволить злоумышленникам взять под контроль брандмауэры, если у них есть доступ к интерфейсу управления; интерфейсы управления, открытые для доступа в Интернет, подвергаются значительно более высокому риску», — сказал Стивен Тай, старший менеджер по глобальным кризисным коммуникациям и управлению репутацией в Palo Alto Networks, в электронном письме в понедельник.

«Мы активно работаем с затронутыми клиентами и призываем все организации немедленно определить, находятся ли их брандмауэры под угрозой, и применить исправления безопасности», — сказал Тай.

Компания Palo Alto Networks, которая отслеживает первоначальную эксплуатацию CVE-2024-0012 как операцию Lunar Peek, заявила, что «очень небольшое количество» устройств PAN-OS развернуто с веб-интерфейсами управления, открытыми для Интернета или других ненадежных сетей.

По данным Shadowserver, по состоянию на воскресенье в Интернете было открыто более 6500 интерфейсов управления PAN-OS, что меньше, чем 11 000 11 ноября.