Palo Alto Networks (PAN) در 14 آوریل برای رفع اشکال روز صفر با حداکثر شدت در نسخه‌های مختلف نرم‌افزار PAN-OS خود که یک عامل تهدید از آن برای استقرار درب پشتی پایتون جدید بر روی فایروال‌های آسیب‌دیده استفاده می‌کند، رفع فوری منتشر کرد.

نقص - به عنوان ردیابی شد CVE-2024-3400 - در فایروال‌های PAN-OS 10.2، 11.0 و 11.1 وجود دارد، زمانی که Gateway GlobalProtect و ویژگی‌های تله‌متری دستگاه هر دو فعال هستند. PAN این نقص را در 12 آوریل پس از محققین در فاش کرد Volexity باگ را پیدا کرد هنگام بررسی فعالیت مشکوک در فایروال مشتری.  

حمله محدود

PAN حملاتی را که این نقص را هدف قرار می‌دهند از نظر حجم محدود توصیف کرده و فعالیت حمله را به یک خوشه تهدید منتسب می‌کند که این شرکت تحت عنوان «عملیات Midnight Eclipse» ردیابی می‌کند. با این حال، فروشنده احتمال سوء استفاده سایر مهاجمان از این نقص را نیز رد نکرد.   

چه زمانی PAN این نقص را فاش کرد هفته گذشته، اقدامات موقتی را توصیه کرد که مشتریان می توانند برای کاهش این تهدید انجام دهند - از جمله غیرفعال کردن تله متری دستگاه. در 14 آوریل، این شرکت نسخه های رفع فوری PAN-OS 10.2.9-h1، PAN-OS 11.0.4-h1، PAN-OS 11.1.2-h3 و همه نسخه های بعدی PAN-OS را در دسترس قرار داد. فروشنده امنیتی از مشتریان خواست که به‌روزرسانی‌ها را اعمال کنند و قول رفع‌های فوری مشابه را برای آن‌ها داد سایر نسخه های نگهداری از نرم افزار

گزارش‌هایی مبنی بر هدف مهاجمان این نقص قبل از در دسترس قرار گرفتن وصله، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) را بر آن داشت تا به سرعت CVE-2024-3400 را به کاتالوگ خود اضافه کند. آسیب پذیری های مورد سوء استفاده شناخته شده. تمام آژانس های فدرال غیرنظامی تا 19 آوریل فرصت دارند تا به این نقص رسیدگی کنند. CISA دارد سازمان هایی که قبلاً هشدار داده بودند در موارد متعدد در مورد علاقه شدید عامل تهدید به VPN و سایر فناوری‌های دسترسی از راه دور از فروشندگانی مانند Pulse Secure، Cisco و PAN به دلیل دسترسی ممتاز این دستگاه‌ها به شبکه‌ها و داده‌های سازمانی.

حداکثر شدت فرمان نقص تزریق

در یک پست وبلاگ هفته گذشته، Volexity نقصی را که کشف کرد به عنوان آسیب‌پذیری تزریق فرمان در PAN-OS GlobalProtect توصیف کرد که به مهاجمان راه دور تأیید نشده راهی برای اجرای کد دلخواه در سیستم‌های آسیب‌دیده می‌دهد. فروشنده امنیتی گفت که یک مهاجم را مشاهده کرده است - که به عنوان UTA0218 ردیابی می کند - از این نقص برای ایجاد یک پوسته معکوس و دانلود بدافزار اضافی در سیستم های در معرض خطر استفاده می کند.

Volexity می‌گوید: «مهاجم روی صادرات داده‌های پیکربندی از دستگاه‌ها و سپس استفاده از آن به‌عنوان نقطه ورود برای حرکت جانبی در سازمان‌های قربانی تمرکز کرده است.

یکی از ابزارهای اضافی که عامل تهدید بر روی سیستم‌های در معرض خطر به کار گرفته بود، یک درب پشتی جدید پایتون بود که Volexity آن را Upstyle نامیده است. فروشنده امنیتی گفت که عامل تهدید را با استفاده از درپشتی Upstyle برای اجرای انواع دستورات اضافی از جمله فرمان‌های حرکت جانبی در شبکه هدف و سرقت اعتبار و سایر داده‌های حساس از آن استفاده می‌کند.

Volexity هشدار داد: «تجاری و سرعت به کار گرفته شده توسط مهاجم نشان می دهد که یک عامل تهدید بسیار توانا با یک کتاب بازی روشن از آنچه باید برای پیشبرد اهداف خود به آن دسترسی داشته باشد.» Volexity گفت که قادر به تعیین مقیاس دقیق فعالیت اکسپلویت نیست، اما حدس زد که احتمالا محدود و هدفمند است. این شرکت گفت که شواهدی مبنی بر تلاش UTA0218 برای سوء استفاده از این آسیب‌پذیری در چندین سازمان در روزهای 26 و 27 مارس پیدا کرده است.

PAN گفت که تجزیه و تحلیل آن نشان می‌دهد که عامل تهدید از درب پشتی برای اجرای چند دستور روی فایروال‌های آسیب‌پذیر استفاده می‌کند. این دستورات شامل یکی برای کپی کردن فایل‌های پیکربندی و استخراج آنها از طریق درخواست‌های HTTP و دیگری بود که فایروال را برای دریافت دستورات بیشتر، این بار از یک URL دیگر، تنظیم می‌کرد. PAN گفت: «در نهایت، عامل تهدید با حذف تمام فایل‌های مرتبط با درب‌های پشتی و پاک کردن cronjob‌ها، خود را پاکسازی کردند.

کنترل کامل

کارل سیگلر، مدیر ارشد تحقیقات امنیتی در Trustwave's SpiderLabs، می‌گوید بهره‌برداری از CVE-2024-3400 به مهاجم کنترل کامل دستگاه PAN را می‌دهد. او می‌گوید: «این می‌تواند به مهاجم اجازه دهد تا جای پای خود را بیشتر به درون سازمان بچرخاند. همچنین می‌تواند به مهاجم اجازه دهد تا محافظت‌های ارائه‌شده توسط دستگاه، از جمله غیرفعال کردن لیست‌های کنترل دسترسی و اتصالات VPN را غیرفعال کند.»

سیگلر می‌گوید که اکسپلویت آسیب‌پذیری در این مورد با واداشتن دستگاه آسیب‌دیده به ثبت دستورات سیستم‌عامل در یک گزارش خطا کار می‌کند. او می گوید که این دستورات سپس با مجوزهای سطح ریشه پردازش و اجرا می شوند. سیگلر خاطرنشان می کند: «غیرفعال کردن تله متری دستگاه، فایل گزارش را غیرفعال می کند و حمله را اتصال کوتاه می کند. خطر اصلی در انجام این کار این است که مدیران شبکه اغلب برای عیب یابی مشکلات دستگاه به این تله متری تکیه می کنند. علاوه بر این، نظارت بر رفتار غیرعادی شبکه ممکن است شواهدی از یک حمله مداوم باشد. غیرفعال کردن تله متری ممکن است این تلاش ها را مختل کند.

خود Palo Alto توصیه کرده است که سازمان هایی که به هر دلیلی قادر به به روز رسانی فوری نرم افزار خود نیستند، باید تله متری دستگاه را تا زمانی که بتوانند به روز رسانی کنند، غیرفعال کنند. به گفته این شرکت، "پس از ارتقاء، تله متری دستگاه باید دوباره در دستگاه فعال شود."

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://www.darkreading.com/cyberattacks-data-breaches/palo-alto-network-issues-hot-fixes-for-zero-day-bug-in-its-firewall-os