全球超过2000台Palo Alto Networks设备遭入侵

据最新统计数据显示，超过2000台Palo Alto Networks设备在全球范围内遭到攻击。这场攻击利用了新披露的安全漏洞，这些漏洞正在被积极地在野外利用。根据Shadowserver基金会的统计数据，受影响最严重的国家为美国（554例）和印度（461例），其他国家如泰国、墨西哥、印度尼西亚、土耳其、英国、秘鲁和南非也报告了感染病例。

此次攻击涉及的两个主要安全漏洞为CVE-2024-0012（CVSS评分：9.3）和CVE-2024-9474（CVSS评分：6.9）。 这两个漏洞的组合可能导致身份验证绕过和权限提升，使得攻击者能够执行恶意操作，包括修改配置和执行任意代码。 Palo Alto Networks将此次攻击命名为“Operation Lunar Peek”，并指出这些漏洞正在被武器化，以实现命令执行并在被入侵的防火墙上投放恶意软件，例如基于PHP的Web shell。

Censys透露，他们已识别出13,324个公开暴露的下一代防火墙（NGFW）管理界面，其中34%位于美国。然而，并非所有这些暴露的主机都必然容易受到攻击。

Palo Alto Networks建议用户尽快应用最新的修复程序，并根据推荐的最佳实践部署指南安全访问管理界面。特别强调需要限制仅受信任的内部IP地址访问，以防止来自互联网的外部访问。此外，Palo Alto Networks还指出，受感染设备的实际数量比Shadowserver基金会报告的要少，因为后者仅显示管理接口暴露于互联网的防火墙。

云安全公司Wiz透露，在发布有效的概念验证（PoC）漏洞后，野外利用尝试“急剧增加”，并且观察到威胁行为者将这些缺陷武器化以消除威胁Web shell、Sliver植入和加密矿工。