Palo Alto Networks ostrzega przed wykorzystaniem systemu PAN-OS w atakach typu Zero-day.

Luka (CVE-2024-3400), której maksymalny wynik ważności wynosi 10, jest opisywana jako „luka w zabezpieczeniach umożliwiająca wstrzykiwanie poleceń w funkcji GlobalProtect oprogramowania PAN-OS Palo Alto Networks”. Według poradnika „określone wersje systemu operacyjnego PAN i różne konfiguracje funkcji mogą umożliwić nieuwierzytelnionemu atakującemu wykonanie dowolnego kodu z uprawnieniami roota na zaporze ogniowej”. 

Usterka dotyczy następujących wersji PAN-OS: 

• PAN-OS < 11.1.2-h3 
• PAN-OS < 11.0.4-h1 
• PAN-OS < 10.2.9-h1 

Według Palo Alto luka dotyczy wyłącznie zapór sieciowych, które mają włączoną konfigurację zarówno bramy GlobalProtect (Sieć > GlobalProtect > Bramy), jak i telemetrii urządzenia (Urządzenie > Konfiguracja > Telemetria). 

Analiza przeprowadzona przez oddział 42 jednostki Palo Alto wykazała, że hakerzy wykorzystywali tę lukę co najmniej od 26 marca 2024 r. Badacze uważają, że jest to dzieło jednego ugrupowania. Osoba zagrażająca wykorzystała CVE-2024-3400 i zainstalowała niestandardowego backdoora w języku Python, aby przełączyć się do wewnętrznej sieci i wykraść dane. 

Według raportu Volexity jest „wysoce prawdopodobne”, że za tym atakiem stać może ugrupowanie UTA0218, wspierane przez Państwo USA. Ocena została „oparta na zasobach wymaganych do opracowania i wykorzystania tego rodzaju luki, rodzaju ofiar, które atakuje ten podmiot, oraz możliwościach pozwalających zainstalować backdoora w Pythonie i zapewnić dalszy dostęp do sieci ofiar”. 

Firma Palo Alto Networks udostępniła dzisiaj (15 kwietnia) poprawki eliminujące tę usterkę.

Informacje o podatności
Analiza PaloAlto
Szerszy raport ze zdarzenia