Palo Alto Networks (PAN) در 14 آوریل برای رفع اشکال روز صفر با حداکثر شدت در نسخههای مختلف نرمافزار PAN-OS خود که یک عامل تهدید از آن برای استقرار درب پشتی پایتون جدید بر روی فایروالهای آسیبدیده استفاده میکند، رفع فوری منتشر کرد.
نقص - به عنوان ردیابی شد CVE-2024-3400 - در فایروالهای PAN-OS 10.2، 11.0 و 11.1 وجود دارد، زمانی که Gateway GlobalProtect و ویژگیهای تلهمتری دستگاه هر دو فعال هستند. PAN این نقص را در 12 آوریل پس از محققین در فاش کرد Volexity باگ را پیدا کرد هنگام بررسی فعالیت مشکوک در فایروال مشتری.
حمله محدود
PAN حملاتی را که این نقص را هدف قرار میدهند از نظر حجم محدود توصیف کرده و فعالیت حمله را به یک خوشه تهدید منتسب میکند که این شرکت تحت عنوان «عملیات Midnight Eclipse» ردیابی میکند. با این حال، فروشنده احتمال سوء استفاده سایر مهاجمان از این نقص را نیز رد نکرد.
چه زمانی PAN این نقص را فاش کرد هفته گذشته، اقدامات موقتی را توصیه کرد که مشتریان می توانند برای کاهش این تهدید انجام دهند - از جمله غیرفعال کردن تله متری دستگاه. در 14 آوریل، این شرکت نسخه های رفع فوری PAN-OS 10.2.9-h1، PAN-OS 11.0.4-h1، PAN-OS 11.1.2-h3 و همه نسخه های بعدی PAN-OS را در دسترس قرار داد. فروشنده امنیتی از مشتریان خواست که بهروزرسانیها را اعمال کنند و قول رفعهای فوری مشابه را برای آنها داد سایر نسخه های نگهداری از نرم افزار
گزارشهایی مبنی بر هدف مهاجمان این نقص قبل از در دسترس قرار گرفتن وصله، آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) را بر آن داشت تا به سرعت CVE-2024-3400 را به کاتالوگ خود اضافه کند. آسیب پذیری های مورد سوء استفاده شناخته شده. تمام آژانس های فدرال غیرنظامی تا 19 آوریل فرصت دارند تا به این نقص رسیدگی کنند. CISA دارد سازمان هایی که قبلاً هشدار داده بودند در موارد متعدد در مورد علاقه شدید عامل تهدید به VPN و سایر فناوریهای دسترسی از راه دور از فروشندگانی مانند Pulse Secure، Cisco و PAN به دلیل دسترسی ممتاز این دستگاهها به شبکهها و دادههای سازمانی.
حداکثر شدت فرمان نقص تزریق
در یک پست وبلاگ هفته گذشته، Volexity نقصی را که کشف کرد به عنوان آسیبپذیری تزریق فرمان در PAN-OS GlobalProtect توصیف کرد که به مهاجمان راه دور تأیید نشده راهی برای اجرای کد دلخواه در سیستمهای آسیبدیده میدهد. فروشنده امنیتی گفت که یک مهاجم را مشاهده کرده است - که به عنوان UTA0218 ردیابی می کند - از این نقص برای ایجاد یک پوسته معکوس و دانلود بدافزار اضافی در سیستم های در معرض خطر استفاده می کند.
Volexity میگوید: «مهاجم روی صادرات دادههای پیکربندی از دستگاهها و سپس استفاده از آن بهعنوان نقطه ورود برای حرکت جانبی در سازمانهای قربانی تمرکز کرده است.
یکی از ابزارهای اضافی که عامل تهدید بر روی سیستمهای در معرض خطر به کار گرفته بود، یک درب پشتی جدید پایتون بود که Volexity آن را Upstyle نامیده است. فروشنده امنیتی گفت که عامل تهدید را با استفاده از درپشتی Upstyle برای اجرای انواع دستورات اضافی از جمله فرمانهای حرکت جانبی در شبکه هدف و سرقت اعتبار و سایر دادههای حساس از آن استفاده میکند.
Volexity هشدار داد: «تجاری و سرعت به کار گرفته شده توسط مهاجم نشان می دهد که یک عامل تهدید بسیار توانا با یک کتاب بازی روشن از آنچه باید برای پیشبرد اهداف خود به آن دسترسی داشته باشد.» Volexity گفت که قادر به تعیین مقیاس دقیق فعالیت اکسپلویت نیست، اما حدس زد که احتمالا محدود و هدفمند است. این شرکت گفت که شواهدی مبنی بر تلاش UTA0218 برای سوء استفاده از این آسیبپذیری در چندین سازمان در روزهای 26 و 27 مارس پیدا کرده است.
PAN گفت که تجزیه و تحلیل آن نشان میدهد که عامل تهدید از درب پشتی برای اجرای چند دستور روی فایروالهای آسیبپذیر استفاده میکند. این دستورات شامل یکی برای کپی کردن فایلهای پیکربندی و استخراج آنها از طریق درخواستهای HTTP و دیگری بود که فایروال را برای دریافت دستورات بیشتر، این بار از یک URL دیگر، تنظیم میکرد. PAN گفت: «در نهایت، عامل تهدید با حذف تمام فایلهای مرتبط با دربهای پشتی و پاک کردن cronjobها، خود را پاکسازی کردند.
کنترل کامل
کارل سیگلر، مدیر ارشد تحقیقات امنیتی در Trustwave's SpiderLabs، میگوید بهرهبرداری از CVE-2024-3400 به مهاجم کنترل کامل دستگاه PAN را میدهد. او میگوید: «این میتواند به مهاجم اجازه دهد تا جای پای خود را بیشتر به درون سازمان بچرخاند. همچنین میتواند به مهاجم اجازه دهد تا محافظتهای ارائهشده توسط دستگاه، از جمله غیرفعال کردن لیستهای کنترل دسترسی و اتصالات VPN را غیرفعال کند.»
سیگلر میگوید که اکسپلویت آسیبپذیری در این مورد با واداشتن دستگاه آسیبدیده به ثبت دستورات سیستمعامل در یک گزارش خطا کار میکند. او می گوید که این دستورات سپس با مجوزهای سطح ریشه پردازش و اجرا می شوند. سیگلر خاطرنشان می کند: «غیرفعال کردن تله متری دستگاه، فایل گزارش را غیرفعال می کند و حمله را اتصال کوتاه می کند. خطر اصلی در انجام این کار این است که مدیران شبکه اغلب برای عیب یابی مشکلات دستگاه به این تله متری تکیه می کنند. علاوه بر این، نظارت بر رفتار غیرعادی شبکه ممکن است شواهدی از یک حمله مداوم باشد. غیرفعال کردن تله متری ممکن است این تلاش ها را مختل کند.
خود Palo Alto توصیه کرده است که سازمان هایی که به هر دلیلی قادر به به روز رسانی فوری نرم افزار خود نیستند، باید تله متری دستگاه را تا زمانی که بتوانند به روز رسانی کنند، غیرفعال کنند. به گفته این شرکت، "پس از ارتقاء، تله متری دستگاه باید دوباره در دستگاه فعال شود."
- محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
- PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
- PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
- PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
- PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
- منبع: https://www.darkreading.com/cyberattacks-data-breaches/palo-alto-network-issues-hot-fixes-for-zero-day-bug-in-its-firewall-os