Поделиться
Файерволлы Palo Alto Networks содержат 10-балльную уязвимость. Спецслужбы ею уже вовсю пользуются
В файерволлах PAN-OS найдена критическая уязвимость нулевого дня, которую хакеры активно используют в атаках с конца марта. Вендор активно выпускает хотфиксы.
В неожиданном месте
Palo Alto Networks начали выпускать исправления для уязвимости нулевого дня, позволявшей хакерам встраивать бэкдоры прямо в файерволлы компании. Уязвимость находилась под активной эксплуатации с конца марта. Злоумышленники успешно устанавливали бэкдоры в файерволлы PAN-OS. Затем эти «закладки» использовались для взлома сетей и кражи данных.
Уязвимость CVE-2024-3400 получила максимальную оценку угрозы - 10 из 10. Она затрагивала файерволлы моделей PAN-OS 10.2, 11.0 и 11.1 с активированными телеметрией и системой GlobalProtect. Неавторизованные злоумышленники благодаря ей могли запускать произвольный код через инъекцию команды, причём сразу с максимальными привилегиями и без какого-либо соучастия легитимного оператора файерволла.
В Palo Alto Networks заявили, что им известно об «ограниченном» количестве атак, которые использовали данную уязвимость.
К настоящему моменту фирма выпустила хотфиксы для PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 и PAN-OS 11.1.2-h3. Для остальных исправления поступят в ближайшие дни. Системным администраторам рекомендовано пока что отключить функцию телеметрии. Те, у кого активна подписка на дополнительную услугу по предотвращению угроз (Threat Prevention), могут задействовать режим Threat ID 95187 для блокировки попыток атаковать уязвимость, если установить патч к ней пока не представляется возможным.
Госхакеры в деле
Эксперты фирмы Volexity, которые первыми выявили уязвимость и отслеживают попытки ее эксплуатации, убеждены, что за ними стоит хакерская группа, спонсируемая иностранным государством: об этом свидетельствует высокий уровень технических возможностей и квалификации атакующих, в частности, их выбор мишеней, возможности по установке бэкдоров. Речь идет о программе Upstyle, написанной на Python и последующих действий в атакованных сетях.
«Для того, чтобы найти уязвимость нулевого дня в коммерческом программном обеспечении (ПО), не обязательно быть хакером на зарплате у спецслужб, а вот выбор целей - это уже весьма убедительный довод», - полагает Анастасия Мельникова, эксперт по информационной безопасности компании SEQ. По ее словам, если судить по описанию, которое приводят эксперты Volexity, у операторов кампании наготове была целая инфраструктура, с которой они докачивали различные компоненты для взлома и передвижения по сетевому окружению скомпрометированных файерволлов, что очевидным образом указывает на деятельность профессионалов.
Эксперт добавила, что максимальный уровень угрозы данной уязвимости означает необходимость немедленно принимать дополнительные меры для владельцев файерволлов PAN-OS.
«Каждый раз есть в этом какая-то горькая ирония: что уязвимым оказывается именно защитный компонент, от которого зависит безопасность всей сети», - отметила Анастасия Мельникова.
Эксперт по информационной безопасности Ютака Седзияма (Yutaka Sejiyama) подсчитал, что в конце предыдущей недели во всемирной Сети располагались 82 тыс. уязвимых файерволлов PAN-OS; 40% из них располагались в США.
Короткая ссылка
