Hackread网站11月22日消息,Shadowserver Foundation报告称,超过2,000个Palo Alto Networks 防火墙已通过两个零日漏洞遭到攻击:CVE-2024-0012和CVE-2024-9474,从而导致管理员绕过和root访问。
主要失陷目标集中在美国和印度。中国也有两位数的目标。Palo Alto Networks于11月19日证实其 PAN-OS防火墙中的零日漏洞正在被利用,并发布了新的入侵指标(IoCs)。暗网论坛连日来有多起防火墙权限出售的消息,多数未明示是palo alto品牌,有一起明确说是palo防
火墙。专家建议用户需要采取紧急行动,受影响的客户限制对Web管理界面的访问,最好只允许内部IP。修补后需要确保设备不受任何潜在恶意软件或恶意配置的影响。
CVE-2024-0012:此漏洞是PAN-OS管理Web界面中的身份验证绕过漏洞。它允许远程攻击者无需身份验证即可获得管理员权限。这意味着攻击者可以篡改防火墙设置,使其更容易受到进一步利用。
CVE-2024-9474:此漏洞是一个权限提升问题。一旦被利用,攻击者便能以root权限执行命令,从而完全控制受感染的防火墙。
美国地区有554台失陷,印度有461台失陷。中国也有21台。
Palo Alto Networks将这些漏洞的首次利用称为“Operation Lunar Peek”。Palo Alto Networks于11月8日首次警告客户,由于未指定的远程代码执行缺陷,将限制对其下一代防火墙的访问。
自那时起,自2024年11月19日第三方研究人员公开发布技术见解以来,该公司观察到威胁活动明显增加。
Palo Alto Networks威胁情报团队Unit42以中等至高度信心评估,链接CVE-2024-0012和CVE-2024-9474的功能漏洞已公开,这可能会导致更广泛的威胁活动。
该公司目前正在调查正在进行的攻击,这些攻击涉及将这两个漏洞串联起来,以针对有限数量的设备管理 Web 界面。该公司观察到威胁行为者在受感染的防火墙上投放恶意软件并执行命令,这表明连锁攻击可能已被利用。
Palo Alto Networks提供了几项降低风险的建议:
监控和审查:用户应监控在互联网上具有管理 Web 界面的设备上是否存在任何可疑或异常活动。应用补丁后,务必检查防火墙配置和审计日志,以查找任何未经授权的管理员活动的迹象。
立即修补:建议客户更新其系统以接收修复CVE-2024-0012和CVE-2024-9474的最新补丁。有关受影响产品和版本的详细信息,请参阅Palo Alto Networks安全公告。
限制访问:为了降低风险,Palo Alto Networks建议将对管理Web界面的访问限制为仅受信任的内部IP地址。这符合他们推荐的最佳实践部署指南。
专家见解
Oasis Security研究主管Elad Luz强调,在修补之前立即采取行动非常重要。他建议受影响的客户限制对Web管理界面的访问,最好只允许内部IP。Luz还强调,修补后需要确保设备不受任何潜在恶意软件或恶意配置的影响。
