Tường lửa Palo Alto: Khai thác công khai, tấn công gia tăng, giảm thiểu không hiệu quả

"Mặc dù ban đầu có vẻ như có thể bảo vệ tường lửa của Mạng Palo Alto khỏi các cuộc tấn công tận dụng CVE-2024-3400 bằng cách vô hiệu hóa tính năng đo từ xa của thiết bị, nhưng giờ đây người ta đã xác nhận rằng biện pháp giảm thiểu này không hiệu quả.

Palo Alto Networks lưu ý hôm thứ Ba: Không cần kích hoạt tường lửa PAN-OS để tường lửa PAN-OS có thể hứng chịu các cuộc tấn công liên quan đến lỗ hổng này, Palo Alto Networks lưu ý hôm thứ Ba và cho biết họ nhận thức được số lượng các cuộc tấn công ngày càng tăng thúc đẩy việc khai thác lỗ hổng này. dễ bị tổn thương.

Phát hiện mới

Thứ Sáu tuần trước, Palo Alto Networks đã cảnh báo về CVE-2024-3400 - một lỗ hổng tiêm lệnh zero-day nghiêm trọng trong tường lửa chạy PAN-OS v10.2, 11.0 và 11.1 với các cấu hình cho cả cổng GlobalProtect và tính năng đo từ xa của thiết bị được bật - đang được bật bị khai thác bởi các tác nhân đe dọa có nguồn lực tốt để cài đặt một cửa sau và sử dụng quyền truy cập có được để di chuyển ngang trong mạng của các tổ chức mục tiêu.

Vào thời điểm đó, công ty cho biết cho đến khi các hotfix sẵn sàng, khách hàng có thể giảm thiểu mối đe dọa khai thác bằng cách kích hoạt các dấu hiệu đe dọa cụ thể và vô hiệu hóa tính năng đo từ xa của thiết bị.

Các hotfix bắt đầu được phát hành vào Chủ nhật, nhưng Palo Alto Networks đã xác nhận vào thứ Ba rằng biện pháp giảm thiểu sau này không còn hiệu quả.

Vào thứ Tư, công ty đã phát hành các dấu hiệu đe dọa mới và chia sẻ lệnh CLI mà khách hàng có thể sử dụng để xác định các chỉ số về hoạt động khai thác trên thiết bị.

Họ cũng nhắc lại rằng tường lửa với các phiên bản PAN-OS cụ thể đó sẽ dễ bị tấn công nếu được định cấu hình bằng cổng GlobalProtect hoặc cổng GlobalProtect (hoặc cả hai).

Các cuộc tấn công lợi dụng CVE-2024-3400 đang gia tăng

Vào thứ Ba, WatchTowr Labs đã công bố phân tích của họ về lỗ hổng và cách khai thác bằng chứng khái niệm, đồng thời một cách khai thác có đòn bẩy tích cực đã được CTO TrustedSec Justin Elze chia sẻ.

Greynoise đã bắt đầu chứng kiến ​​những nỗ lực khai thác.

Khách hàng của Palo Alto Network đang chạy tường lửa dễ bị tấn công nên triển khai các bản sửa lỗi nóng càng sớm càng tốt và kiểm tra các dấu hiệu bị xâm phạm.

Nếu bạn phát hiện ra rằng thiết bị tường lửa Palo Alto Network GlobalProtect của mình bị xâm phạm, điều quan trọng là phải hành động ngay lập tức. Đảm bảo không lau hoặc xây dựng lại thiết bị. Các nhà nghiên cứu của Volexity đã khuyên rằng việc thu thập nhật ký, tạo tệp hỗ trợ kỹ thuật và bảo quản các hiện vật pháp y (bộ nhớ và đĩa) khỏi thiết bị là rất quan trọng.

Nhưng ngay cả khi bạn không tìm thấy dấu hiệu thỏa hiệp nào, bạn vẫn nên thực hiện những hành động này trước khi áp dụng hotfix."

TÁC GIẢ

Về ABN Asia: AiUTOMATING PEOPLE, ABN Asia được thành lập từ năm 2012, là một công ty xuất phát từ học thuật, do những giảng viên, cựu du học sinh Hungary, Hà Lan, Nga, Đức, và Nhật Bản sáng lập. Chúng tôi chia sẻ đam mê chung và tầm nhìn vững chắc về công nghệ, mang đến sự đổi mới và chất lượng đỉnh cao cho khách hàng. Phương châm của chúng tôi là: Tốt hơn. Nhanh hơn. An toàn hơn. Trong nhiều trường hợp: Rẻ hơn.

Hãy liên hệ với chúng tôi khi Quý doanh nghiệp có các nhu cầu về dịch vụ công nghệ thông tin, tư vấn chuyển đổi số, tìm kiếm các giải pháp phần mềm phù hợp, hoặc nếu Quý doanh nghiệp có đấu thầu CNTT (RFP) để chúng tôi tham dự. Quý doanh nghiệp có thể liên hệ với chúng tôi qua địa chỉ email [email protected]. Chúng tôi sẵn lòng hỗ trợ với mọi nhu cầu công nghệ của Quý doanh nghiệp.

© ABN ASIA