Palo Alto-Firewalls: Öffentliche Exploits, zunehmende Angriffe, ineffektive Abwehrmaßnahmen

"Während es zunächst schien, dass der Schutz der Palo Alto Network-Firewalls vor Angriffen, die CVE-2024-3400 ausnutzen, durch die Deaktivierung der Telemetrie der Geräte möglich wäre, wurde nun bestätigt, dass diese Abhilfemaßnahme wirkungslos ist.

„Gerätetelemetrie muss nicht aktiviert sein, damit PAN-OS-Firewalls Angriffen im Zusammenhang mit dieser Schwachstelle ausgesetzt sind, stellte Palo Alto Networks am Dienstag fest und sagte, man sei sich einer „zunehmenden Anzahl von Angriffen bewusst, die diese Schwachstelle ausnutzen. Verletzlichkeit.""

Neue Erkenntnisse

Letzten Freitag warnte Palo Alto Networks vor CVE-2024-3400 - einer kritischen Zero-Day-Befehlsinjektionsschwachstelle in seinen Firewalls mit PAN-OS v10.2, 11.0 und 11.1, wobei die Konfigurationen sowohl für das GlobalProtect-Gateway als auch für die Gerätetelemetrie aktiviert sind Wird von gut ausgestatteten Bedrohungsakteuren ausgenutzt, um eine Hintertür zu installieren und den erhaltenen Zugriff zu nutzen, um sich seitlich in den Netzwerken der Zielorganisationen zu bewegen.

Damals sagte das Unternehmen, dass Kunden die Bedrohung durch Ausnutzung durch die Aktivierung spezifischer Bedrohungssignaturen und die Deaktivierung der Gerätetelemetrie abmildern könnten, bis Hotfixes bereit seien.

Die Veröffentlichung von Hotfixes begann am Sonntag, aber Palo Alto Networks bestätigte am Dienstag, dass die letztgenannte Abhilfe nicht mehr wirksam ist.

Am Mittwoch veröffentlichte das Unternehmen neue Bedrohungssignaturen und teilte einen CLI-Befehl mit, mit dem Kunden Indikatoren für Exploit-Aktivitäten auf dem Gerät identifizieren können.

Sie bekräftigten außerdem, dass Firewalls mit diesen spezifischen PAN-OS-Versionen anfällig seien, wenn sie mit dem GlobalProtect-Gateway oder dem GlobalProtect-Portal (oder beiden) konfiguriert würden.

Angriffe, die CVE-2024-3400 nutzen, eskalieren

Am Dienstag veröffentlichten WatchTowr Labs ihre Analyse der Schwachstelle und einen Proof-of-Concept-Exploit, und Justin Elze, CTO von TrustedSec, teilte einen aktiv genutzten Exploit mit.

Greynoise hat begonnen, Exploit-Versuche zu beobachten.

Kunden von Palo Alto Network, die anfällige Firewalls betreiben, sollten so schnell wie möglich Hotfixes implementieren und auf Anzeichen einer Kompromittierung prüfen.

„Wenn Sie feststellen, dass Ihr Palo Alto Network GlobalProtect-Firewall-Gerät kompromittiert ist, ist es wichtig, sofort Maßnahmen zu ergreifen. Achten Sie darauf, das Gerät nicht abzuwischen oder wieder aufzubauen. „Das Sammeln von Protokollen, das Erstellen einer technischen Support-Datei und die Aufbewahrung forensischer Artefakte (Speicher und Festplatte) auf dem Gerät sind von entscheidender Bedeutung, raten Volexity-Forscher.

Aber selbst wenn Sie keine Anzeichen einer Kompromittierung finden, ist es eine gute Idee, diese Maßnahmen vor der Anwendung des Hotfixes durchzuführen."

Bitte beachten Sie, dass die französische Version von Ai unterstützt wird und daher geringfügige Fehler auftreten können.

AUTOR

Über ABN Asia: Ai Base Network (ABN), ABN Asia wurde im Jahr 2012 gegründet und ist ein Unternehmen mit akademischem Hintergrund, das von Lehrkräften und ehemaligen Studierenden aus Ungarn, den Niederlanden, Russland, Deutschland und Japan gegründet wurde. Wir teilen eine gemeinsame Leidenschaft und eine klare Vision für Technologie, die Innovation und erstklassige Qualität für unsere Kunden bringt. Unser Motto lautet: Besser. Schneller. Sicherer. In vielen Fällen: Günstiger.

Zögern Sie nicht, uns zu kontaktieren, wenn Sie IT-Dienstleistungen, digitale Beratung, Standardsoftwarelösungen benötigen oder uns Angebotsanfragen (RFPs) senden möchten. Sie können uns unter [email protected] kontaktieren. Wir sind bereit, Ihnen bei all Ihren Technologiebedürfnissen zu helfen.

© ABN ASIA