Хакеры скомпрометировали две тысячи межсетевых экранов Palo Alto Networks

Хакеры смогли скомпрометировать тысячи межсетевых экранов Palo Alto Networks в ходе атак, использующих две недавно исправленные уязвимости нулевого дня.

Первая использует обход аутентификации (CVE-2024-0012) в веб-интерфейсе управления PAN-OS, с помощью которого удалённые злоумышленники могут получить права администратора, а вторая заключается в повышении привилегий PAN-OS (CVE-2024-9474), которое позволяет выполнять команды на межсетевом экране с правами root.

Хотя CVE-2024-9474 раскрыли буквально на днях, компания 8 ноября впервые предупредила клиентов о необходимости ограничить доступ к своим брандмауэрам следующего поколения из-за потенциальной уязвимости RCE (которая была помечена как CVE-2024-0012). Palo Alto Networks всё ещё расследует продолжающиеся атаки, объединяющие две уязвимости, чтобы нацелиться на «ограниченное количество веб-интерфейсов управления устройствами», и уже заметила, что злоумышленники размещают вредоносное ПО и выполняют команды на скомпрометированных брандмауэрах. Она предупреждает, что цепочка эксплойтов, вероятно, уже доступна.

«Эта исходная активность, о которой сообщалось 18 ноября 2024 года, в основном исходила от IP-адресов, известных как прокси-серверы/туннельные трафики для анонимных служб VPN», — заявила компания.

Платформа мониторинга угроз Shadowserver сообщила, что отслеживает более 2700 уязвимых устройств PAN-OS. Она также заявила о почти 2 тыс. взломанных брандмауэров Palo Alto Networks. 

CISA добавила обе CVE в свой Каталог известных эксплуатируемых уязвимостей и теперь требует от федеральных агентств исправить брандмауэры до 9 декабря. В начале ноября она также предупредила о злоумышленниках, эксплуатирующих критическую уязвимость, связанную с отсутствием аутентификации