Поставщик безопасности утверждает, что только ограниченное количество брандмауэров клиентов были взломаны уязвимостью нулевого дня, которую он исправил ранее на этой неделе.
Motortion через Getty Images
Краткое описание погружения:
- Исследователи Shadowserver и Palo Alto Networks оспаривают количество скомпрометированных случаев в операционной системе PAN-OS поставщика безопасности. Хотя Shadowserver выявил около 2000 скомпрометированных случаев, Palo Alto Networks заявила, что их число было менее обширным.
- О брандмауэрах клиентов Palo Alto Networks, скомпрометированных расширяющимся потоком эксплойтов, нацеленных на уязвимость нулевого дня в операционной системе PAN-OS поставщика безопасности, показали сканирования Shadowserver в четверг.
- Palo Alto Networks оспорила выводы Shadowserver. «Хотя мы не можем подтвердить точное число, я могу сказать вам, что оно меньше», — сказал Стивен Тай, старший менеджер по глобальным кризисным коммуникациям и управлению репутацией в Palo Alto Networks, в электронном письме в четверг.
Dive Insight:
Shadowserver, некоммерческая организация, которая делится ежедневным анализом с более чем 200 национальными группами реагирования на инциденты компьютерной безопасности, обычно сканирует устройства, имеющие доступ к Интернету и потенциально уязвимые для известных эксплойтов.
Тем не менее, в этом случае исследование Shadowserver и сотрудничество с Саудовским национальным управлением по кибербезопасности выявили артефакты, оставленные злоумышленниками, которые можно обнаружить удаленно, сказал генеральный директор Shadowserver Петр Киевски в пятничном электронном письме.
Исследование Shadowserver является частичным опровержением утверждения Palo Alto Networks о том, что было взломано лишь ограниченное количество интерфейсов управления брандмауэрами клиентов.
«Экосистема брандмауэров в целом насчитывает миллионы. Но мы считаем, что даже один затронутый брандмауэр — это слишком много, и именно поэтому мы часто общаемся и публикуем сообщения, когда видим любую потенциальную уязвимость», — сказал Тай.
«Менее половины процента межсетевых экранов Palo Alto Networks, развернутых клиентами, имеют интерфейс управления, доступный через Интернет».
Поставщик безопасности первоначально опубликовал рекомендацию по безопасности о неподтвержденной уязвимости в интерфейсе управления PAN-OS 8 ноября. Компания заметила активность угроз, направленных на уязвимость, 14 ноября и добавила индикаторы компрометации 15 ноября.
В понедельник CVE был присвоен критической уязвимости обхода аутентификации CVE-2024-0012, и Palo Alto Networks выпустила исправление. Агентство по кибербезопасности и безопасности инфраструктуры добавило CVE-2024-0012 и CVE-2024-9474, еще одну уязвимость в PAN-OS, которая может эксплуатироваться одновременно, в свой каталог известных эксплуатируемых уязвимостей в понедельник.
Сканирование Shadowserver выявило рост активности угроз, нацеленных на CVE, начиная со вторника, когда, предположительно, больше групп угроз начали эксплуатировать уязвимости, сказал Кижевски.
Фирма по анализу угроз Unit 42 компании Palo Alto Networks отслеживает первоначальную эксплуатацию CVE-2024-0012 как Operation Lunar Peek.
«Мы активно работаем с теми, кого это может коснуться, и стремимся поддерживать безопасность наших клиентов», — сказал Тай.
Активные эксплойты межсетевых экранов клиентов Palo Alto Networks следуют за тремя активно эксплуатируемыми уязвимостями нулевого дня в Expedition, инструменте компании для миграции клиентов от других поставщиков, в начале этого месяца. Злоумышленники также поразили максимальную серьезность уязвимости нулевого дня в PAN-OS в начале этого года.