Af Eskil Sørensen, 23/04/24
PAN-OS firewalls fra Palo Alto Networks står over for en ny bølge af udnyttelsesforsøg efter offentliggørelsen af en kritisk sårbarhed den 12. april.
Det skriver SC Magazine med henvisning til en opdatering af Palo Alto Networks efterretningsteam Unit 42's trusselsbrief fra i fredags, hvor det aktuelle omfang af udnyttelsesangreb af sårbarheden fremgår.
Selve sårbarheden er en command injection-sårbarhed, med id-nummeret CVE-2024-3400 og en CVSS-score på 10. Den ligger i PAN-OS GlobalProtect-funktionen og blev oprindeligt angrebet som en 0-dagssårbarhed af en formodet statssponsoreret trusselsaktør, som ifølge Volexity skal være UTA0218.
Unit 42 oplyser nu, at den er opmærksom på "et stigende antal angreb" efter offentliggørelsen af proof-of-concept-udnyttelser til CVE-2024-3400 i sidste uge. Derudover er angreb, der tilsyneladende ikke er relateret til den oprindelige UTA0218-kampagne, også blevet opdaget.
Den 21. april er der noteret cirka 6.200 sårbare GlobalProtect-forekomster over for CVE-2024-3400 ifølge data fra Shadowserver.
PAN-OS GlobalProtect-sårbarheden blev rettet med udgivelserne af PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 og PAN-OS 11.1.2-h3 den 14. april. Yderligere hotfixes til almindeligt anvendte vedligeholdelsesudgivelser var også rullet ud mellem 15. og 18. april.
Tidligere har det heddet sig, at deaktivering af telemetri var en afbødning af sårbarheden, men nu siger Palo Alto Networks, at dette ikke længere garanterer beskyttelse som følge af opdagelsen af potentielle udnyttelser.
Links:
https://www.scmagazine.com/news/6-2k-palo-alto-firewalls-still-at-risk-as-exploits-increase