Güncelleme 4/16/24: Önceki hafifletmelerin cihazları nasıl korumadığı hakkında daha fazla bilgi ile güncellenmiş hikaye.
Exploit kodu artık maksimum bir ciddiyet için mevcuttur ve Palo Alto Networks'ün PAN-OS güvenlik duvarı yazılımında aktif olarak kullanılmış güvenlik açığı.
CVE-2024-3400 olarak izlenen bu güvenlik kusuru, yetkili olmayan tehdit aktörlerinin, savunmasız PAN-OS 10.2, PAN-OS 11.0 ve PAN-OS 11.1 ateşli duvarlara karşı düşük karmaşık saldırılarda komut enjeksiyonu yoluyla rasgele kodu kök olarak yürütmesine izin verebilir. Telemetri ve GlobalProtect (ağ geçidi veya portal) özelliği etkinleştirilmiştir.
Palo Alto Networks, saldırılara maruz kalan güvenlik duvarlarını güvence altına almak için Pazartesi günü sıcaklıkları serbest bırakmaya başlarken, kırılganlık 26 Mart'tan bu yana vahşi doğada sıfır gün olarak sıfır yazılım, iç ağlar için pivot kullanılarak arka kapı güvenlik duvarları ve verileri çaldı ve verileri çaldı. Devlet destekli ve UTA0218 olarak izlendiğine inanılan bir tehdit grubu ..
Güvenlik tehdidi izleme platformu Shadowserver, her gün internette 156.000'den fazla PAN-OS güvenlik duvarı örneği gördüğünü söylüyor; Ancak, kaçının savunmasız olduğu hakkında bilgi vermez.
Cuma günü, tehdit araştırmacısı Yutaka Sejiyama,% 40'ı ABD'de olan CVE-2024-34000 saldırılarına karşı savunmasız 82.000'den fazla güvenlik duvarı buldu.
Palo Alto Networks CVE-2024-3400 hotfixes yayınlamaya başladıktan bir gün sonra, WatchTowr Labs ayrıca güvenlik açığının ayrıntılı bir analizini ve eşleştirilmemiş güvenlik duvarlarında kabuk komutlarını yürütmek için kullanılabilecek bir kavram kanıtı istismarını yayınladı.
WatchTowr Labs, "Görebileceğimiz gibi, bir Palo Alto GlobalProtect cihazının telemetri etkin olduğunda - daha sonra bir dizeye birleştirilen ve nihayetinde kabuk komutu olarak yürütülen SESSID çerez değerine komut enjeksiyon yükümüzü enjekte ettik." Dedi.
TrustedSec Baş Teknoloji Sorumlusu Justin Elze, gerçek saldırılarda görülen bir istismar paylaştı ve saldırganların güvenlik duvarının yapılandırma dosyasını indirmesine izin verdi.
Saldırılara yanıt olarak CISA, Cuma günü bilinen sömürülen güvenlik açıkları (KEV) kataloğuna CVE-2024-3400 ekledi ve ABD federal ajanslarına 19 Nisan'a kadar cihazlarını yedi gün içinde güvence altına almasını emretti.
Ne yazık ki, Palo Alto Networks, daha önce paylaşılan azaltmaların cihazların güvenlik açığından korunmasında etkisiz olduğu konusunda uyarmak için bugün danışmanlığını güncelledi.
Palo Alto'nun danışmanlığına bir güncelleme, "Bu danışmanlığın daha önceki sürümleri, devre dışı bırakma cihaz telemetrisi ikincil bir azaltma eylemi olarak listelendi. Cihaz telemetrisinin devre dışı bırakılması artık etkili bir azaltma değil."
"PAN-OS güvenlik duvarlarının bu güvenlik açığı ile ilgili saldırılara maruz kalması için cihaz telemetrisinin etkinleştirilmesi gerekmez."
Bu nedenle, en iyi çözüm, güvenlik açığını düzeltmek için en son PAN-OS yazılım güncellemesini kurmaktır.
Ayrıca, aktif bir 'tehdit önleme' aboneliğiniz varsa, 'Tehdit Kimliği 95187' Tehdit Önleme Tabanlı Azaltma'yı etkinleştirerek devam eden saldırıları engelleyebilirsiniz.
Saldırılarda kullanılan Fortinet RCE Bug için piyasaya sürülen istismar, şimdi Patch
Palo Alto Networks, Pan-OS Güvenlik Duvarı Zero Day'i Saldırılarda Kullanılan uyarıyor
Palo Alto Networks Backdoor Güvenlik Duvarlarına Sökülen Zero Day'i düzeltiyor
Palo Alto Networks Zero-Day Mart ayından bu yana arka kapı güvenlik duvarlarına sömürüldü
Exploit kodu ortaya çıktıkça şimdi saldırı altındaki kritik hatayı ek screencon
Kaynak: Bleeping Computer