Броят на изложените на опасност в интернет защитни стени на Palo Alto Networks намалява, но според Shadowserver Foundation вече са компрометирани около 2000 устройства.
Palo Alto Networks научи за потенциален нулев ден на PAN-OS в началото на ноември и потвърди експлоатирането на нова уязвимост на 15 ноември. На 18 ноември фирмата за сигурност обяви пускането на пачове за засегнатите защитни стени и уточни, че две уязвимости са били използвани при злонамерени атаки.
Едната от тях е CVE-2024-0012 – критична уязвимост за заобикаляне на удостоверяването, която позволява на неаутентифициран нападател, който има достъп до интерфейса за управление на защитната стена, да получи администраторски привилегии.
Вторият недостатък, CVE-2024-9474, е проблем със средна степен на опасност, който позволява на нападател да получи root привилегии в защитната стена. CVE-2024-0012 и CVE-2024-9474 са верижно свързани при атаки.
Актуализациите за PAN-OS 11.2, 11.1, 11.0, 10.2 и 10.1 поправят уязвимостите. Засегнати са защитните стени от сериите PA, VM и CN, както и продуктите Panorama (виртуални и M серии).
Гарантирането, че интерфейсът за управление на защитната стена е достъпен само от доверени вътрешни IP адреси, значително намалява риска от експлоатация.
Въпреки че броят на изложените на риск в интернет интерфейси на PAN-OS е намалял от 11 000 на 10 ноември до приблизително 2700 на 20 ноември, в четвъртък Shadowserver Foundation съобщи, че е видяла приблизително 2000 случая на компрометирани защитни стени.
Организацията с нестопанска цел за киберсигурност заяви, че повечето от хакнатите устройства се намират в Съединените щати и Индия.
Компанията за операции по сигурността Arctic Wolf започна да наблюдава атаки срещу клиентски среди на 19 ноември.
„При успешна експлоатация наблюдавахме, че заплахите се опитват да прехвърлят инструменти в средата и да ексфилтрират конфигурационни файлове от компрометираните устройства“, заявиха от компанията.
WatchTowr е публикувал технически подробности и код за доказване на концепцията (PoC), което според Arctic Wolf ще доведе до повече атаки.
Palo Alto, която проследява първоначалната експлоатация на нулевия ден като операция Lunar Peek, не е споделила никаква информация за това кой стои зад атаките. Тя обаче е споделила индикатори за компрометиране (IoC), за да могат организациите да откриват атаки.
Palo Alto Networks заяви, че макар да не може да предостави точния брой на компрометираните защитни стени, компанията смята, че действителният брой е по-малък от този, който съобщава Shadowserver.
Компанията заяви, че огромното мнозинство от клиентите следват най-добрите практики в бранша и защитават своите интерфейси за управление, а само по-малко от 0,5 % от нейните защитни стени имат интерфейс, изложен на интернет.
Palo Alto също така отбеляза, че е наблюдавала дейност, свързана със заплахи, на ограничен брой интерфейси за управление на защитни стени и че предоставя помощ на засегнатите клиенти.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
