Over 2.000 Palo Alto-firewalls kompromitteret gennem nyligt opdagede sårbarheder
Hackere har udnyttet to nyligt lukkede zero-day-sårbarheder til at kompromittere tusindvis af Palo Alto Networks-firewalls. Angrebene retter sig mod en autentificeringsomgåelse og en rettighedsforøgelse, der begge blev rettet i nylige sikkerhedsopdateringer. Og lige nu går det stærkt med at udnytte disse sikkerhedshuller.
Detaljer om sårbarhederne
De to sårbarheder omfatter:
- CVE-2024-0012
- En autentificeringsomgåelse i PAN-OS management-webinterfacet, der kan udnyttes af eksterne angribere til at opnå administratorrettigheder.
- CVE-2024-9474
- En privilege escalation-sårbarhed i PAN-OS, der gør det muligt at køre kommandoer på firewall-enheder med root-rettigheder.
Tidligere advarsler og angrebets udbredelse
Palo Alto Networks advarede allerede den 8. november 2024 om en potentiel RCE-sårbarhed, som senere blev identificeret som CVE-2024-0012. CVE-2024-9474 blev først offentliggjort mandag, og begge sårbarheder er siden blevet udnyttet i kædeangreb, der rammer management-webinterfacet på en “begrænset mængde enheder”.
Ifølge Palo Alto Networks’ sikkerhedsteam, Unit 42, er der med moderat til høj sikkerhed identificeret en offentlig tilgængelig udnyttelseskode, der kæder disse sårbarheder sammen og muliggør bredere angrebsaktivitet. Selskabet rapporterer desuden om malware-implementering og kommandoeksekvering på kompromitterede firewalls.
“Denne oprindelige aktivitet, der blev rapporteret den 18. november 2024, stammer primært fra IP-adresser kendt for at proxy-/tunnelere trafik via anonyme VPN-tjenester,” udtaler Palo Alto Networks.
Omfanget af kompromitterede enheder
Trods Palo Alto Networks’ vurdering af, at kun et “meget lille antal” enheder er påvirket, rapporterede sikkerhedsplatformen Shadowserver onsdag, at over 2.700 PAN-OS-enheder stadig er sårbare. Shadowserver anslår også, at cirka 2.000 enheder allerede er kompromitteret under det igangværende angreb.
I henhold til Shadowserver er disse lande hacket og som det ses er det USA og Indien der er værst ramt, og under Danmark er der ikke rapporteret noget endnu.
Hvad skal virksomheder gøre?
Palo Alto Networks opfordrer alle kunder til straks at:
- Begrænse adgang til management-webinterfacet for deres firewalls.
- Implementere de nyeste sikkerhedsopdateringer.
- Overvåge netværkstrafik for mistænkelig aktivitet.
Ved yderligere angrebsinformation henvises til selskabets opdateringer og trusselsrapporter, der løbende bliver offentliggjort.
CISA kræver hurtige handlinger på alvorlige sårbarheder i Palo Alto Networks firewalls
CISA (Cybersecurity and Infrastructure Security Agency) har føjet de nyligt opdagede sårbarheder i Palo Alto Networks firewalls (CVE-2024-0012 og CVE-2024-9474) til sin Known Exploited Vulnerabilities Catalog. Myndigheden har pålagt føderale agenturer at installere sikkerhedsopdateringer inden for tre uger, senest den 9. december.
Ja sådan tager de på sikkerheden i USA, det er jo klart at de bliver hacket inden.
Tidligere sårbarheder og advarsler
CISA har tidligere advaret om andre kritiske sårbarheder i Palo Alto Networks produkter:
- CVE-2024-5910
- En alvorlig sårbarhed i Expedition firewall-konfigurationsværktøjet, der blev opdaget i november. Fejlen, som kan udnyttes til at nulstille admin-konti på offentligt eksponerede Expedition-servere, blev rettet allerede i juli.
- CVE-2024-3400
- En sårbarhed i PAN-OS firewalls med maksimal alvorlighed, der blev udnyttet tidligere i år og påvirkede over 82.000 enheder. Denne sårbarhed blev også tilføjet til CISA’s KEV-katalog med en frist på syv dage for at sikre de berørte enheder.
Palo Alto Networks anbefalinger
Palo Alto Networks har udsendt en kraftig opfordring til sine kunder om straks at sikre deres firewalls’ administrationsinterfaces. Selskabet anbefaler, at adgangen begrænses til interne og betroede IP-adresser.
“Risikoen for disse problemer reduceres betydeligt, hvis du sikrer adgangen til administrationsinterfacet ved kun at tillade betroede interne IP-adresser, som beskrevet i vores anbefalede implementeringsretningslinjer,” udtalte Palo Alto Network.
Hvad betyder det for virksomheder og myndigheder?
Virksomheder og offentlige institutioner bør straks:
- Installere de seneste sikkerhedsopdateringer for at afhjælpe sårbarhederne.
- Begrænse adgang til administrationsinterfaces til kun interne netværk.
- Gennemgå netværkets sikkerhedsopsætning for at beskytte mod fremtidige udnyttelser.
Med disse foranstaltninger kan risikoen for fremtidige kompromitteringer reduceres væsentligt.
- Kilde: ICARE SECURITY A/S, ICARE.DK
- Fotokredit: Palo Alto
- Personer/Firmaer/Emner/#: #PaloAltoNetworks, #PAN-OS, #Firewalls, #Sårbarheder, #ITsikkerhed, #CVE2024-0012, #CVE2024-9474, #ZeroDay, #Shadowserver
- Copyrights: Ⓒ 2024 Copyright by ICARE.DK – artikel kan gengives med aktivt link til denne artikel.