Хакеры смогли скомпрометировать тысячи межсетевых экранов Palo Alto Networks в ходе атак, использующих две недавно исправленные уязвимости нулевого дня.
Первая использует обход аутентификации (CVE-2024-0012) в веб-интерфейсе управления PAN-OS, с помощью которого удалённые злоумышленники могут получить права администратора, а вторая заключается в повышении привилегий PAN-OS (CVE-2024-9474), которое позволяет выполнять команды на межсетевом экране с правами root.
Хотя CVE-2024-9474 раскрыли буквально на днях, компания 8 ноября впервые предупредила клиентов о необходимости ограничить доступ к своим брандмауэрам следующего поколения из-за потенциальной уязвимости RCE (которая была помечена как CVE-2024-0012). Palo Alto Networks всё ещё расследует продолжающиеся атаки, объединяющие две уязвимости, чтобы нацелиться на «ограниченное количество веб-интерфейсов управления устройствами», и уже заметила, что злоумышленники размещают вредоносное ПО и выполняют команды на скомпрометированных брандмауэрах. Она предупреждает, что цепочка эксплойтов, вероятно, уже доступна.
«Эта исходная активность, о которой сообщалось 18 ноября 2024 года, в основном исходила от IP-адресов, известных как прокси-серверы/туннельные трафики для анонимных служб VPN», — заявила компания.
Платформа мониторинга угроз Shadowserver сообщила, что отслеживает более 2700 уязвимых устройств PAN-OS. Она также заявила о почти 2 тыс. взломанных брандмауэров Palo Alto Networks.
CISA добавила обе CVE в свой Каталог известных эксплуатируемых уязвимостей и теперь требует от федеральных агентств исправить брандмауэры до 9 декабря. В начале ноября она также предупредила о злоумышленниках, эксплуатирующих критическую уязвимость, связанную с отсутствием аутентификации (CVE-2024-5910) в инструменте миграции конфигурации брандмауэра Palo Alto Networks Expedition. Её можно использовать для сброса учётных данных администратора приложения на серверах Expedition, открытых для доступа в Интернет.
Ранее в этом году клиентам компании также пришлось исправить ещё одну серьёзную и активно эксплуатируемую уязвимость брандмауэра PAN-OS (CVE-2024-3400), которая затронула более 82 тыс. устройств. CISA тогда добавила CVE-2024-3400 в свой каталог, попросив федеральные агентства защитить свои устройства в течение семи дней.
Palo Alto Networks «настоятельно» порекомендовала клиентам защитить интерфейсы управления своих брандмауэров, ограничив доступ к внутренней сети. «Риск этих проблем значительно снижается, если вы защищаете доступ к веб-интерфейсу управления, ограничивая его только доверенными внутренними IP-адресами», — заявила компания.
Накануне MITRE представила список 25 самых распространённых и опасных уязвимостей программного обеспечения этого года. Всего было обнаружено более 31 тысячи уязвимостей в период с июня 2023 года по июнь 2024-го.
Источник новости: habr.com
