Menu dostępności

Zero-day w Palo Alto! Nie pierwszy w tym roku

Zero-day w Palo Alto! Nie pierwszy w tym roku

Palo Alto Networks potwierdziło w piątek 8 listopada, że w atakach wykorzystywana jest nowo odkryta luka typu zero-day. Tego dnia firma, popularna również w Polsce, wezwała klientów do zapewnienia bezpieczeństwa dostępu do interfejsu zarządzania PAN-OS.

Nie obyło się jednak bez odrobiny zamieszania. Początkowo Palo Alto stwierdziło, że nie zauważyło żadnych oznak wykorzystania luki typu zero-day, ale w piątek przyznało się do błędu i zaktualizowało ostrzeżenie, mówiąc, że jednak: „zaobserwowało aktywność wykorzystującą nieuwierzytelnioną lukę w zabezpieczeniach umożliwiającą zdalne wykonywanie poleceń w odniesieniu do ograniczonej liczby interfejsów zarządzania zaporą, które są narażone na działanie Internetu”.

Nadal nie jest jasne, w jaki sposób luka wyszła na jaw, kto ją wykorzystał i kto był celem ataków.

Identyfikator CVE nie został jeszcze przypisany, ale luka ma ona wynik CVSS wynoszący 9,3, co plasuje ją w kategorii „krytycznej wagi”.

Palo Alto poinformowało klientów, że pracuje nad poprawkami i sygnaturami zapobiegania zagrożeniom, które ma nadzieję wkrótce udostępnić.

W międzyczasie klientom zalecono upewnienie się, że dostęp do interfejsu zarządzania zaporą jest możliwy tylko z zaufanych adresów IP, a nie z Internetu. Firma podkreśla, że jest to bardzo dobra praktyka: „Jeśli dostęp do interfejsu zarządzania jest ograniczony do adresów IP, ryzyko wykorzystania jest znacznie ograniczone, ponieważ każdy potencjalny atak wymagałby najpierw uprzywilejowanego dostępu do tych adresów IP”.

Firma uważa, że produkty Prisma Access i Cloud NGFW nie są zagrożone.

To nie jest jedyna luka w zabezpieczeniach produktu Palo Alto, której wykorzystanie wyszło na jaw w ostatnich dniach. Amerykańska agencja ds. cyberbezpieczeństwa CISA poinformowała, że jest świadoma trzech luk w zabezpieczeniach Palo Alto Networks Expedition, które zostały wykorzystane w atakach. My pisaliśmy w kwietniu tego roku o zero-dayu, który narażał 6000 podatnych instancji. Można o tym przeczytać tutaj.

Wcześniej głośna była sprawa wykorzystania innej luki, CVE-2024-340, przez grupę określaną jako „UTA0218”.

Na działania tego aktora zwróciło uwagę Volexity, oceniając za wysoce prawdopodobne, że UTA0218 jest aktorem zagrożeń wspieranym przez państwo. Wywnioskowano to na podstawie zasobów wymaganych do analizy i wykorzystania luki tego rodzaju, doboru ofiar oraz możliwości technicznych, m.in. wykazania się instalacją wyrafinowanego backdoora pisanego w Pythonie.

Popularne

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

Masowy wyciek danych PayPal – 15,8 miliona haseł w rękach cyberprzestępców

16 sierpnia br. na forum cyberprzestępczym pojawiła się oferta sprzedaży ogromnej bazy danych, zawierającej ponad 15,8 miliona par adresów e-mail i haseł w formacie jawnego tekstu powiązanych z konta...
Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

Groźna dziura w Microsoft IIS. Deserializacja usług może prowadzić do zdalnego wykonania kodu

W połowie sierpnia 2025 roku ujawniono poważną lukę bezpieczeństwa w narzędziu Microsoft Web Deploy 4.0, używanym do publikacji aplikacji webowych na serwerach IIS. Luka – oznaczona jako CVE-2025-53772 – pozwal...
Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Co sprawia, że Deep Web jest cennym źródłem threat intelligence?

Deep Web, czyli warstwa Internetu niedostępna dla standardowych wyszukiwarek, często bywa pomijana w analizach bezpieczeństwa, mimo że stanowi niezwykle wartościowe źródło informacji o zagrożeniach. Jej tre...
Miliony laptopów Dell narażone na kompromitację

Miliony laptopów Dell narażone na kompromitację

Niedawno pisaliśmy o kłopotach Lenovo, dzisiaj czas na Dell. Okazuje się, że pięć luk w oprogramowaniu ControlVault3 i powiązanych interfejsach API systemu Windows naraża miliony laptopów na trwałe w...
WinRAR: krytyczna podatność zero-day CVE-2025-8088

WinRAR: krytyczna podatność zero-day CVE-2025-8088

W popularnym narzędziu do archiwizacji plików WinRAR wykryto poważną lukę bezpieczeństwa. Została oceniona na 8.8 w skali CVSS i otrzymała oznaczenie CVE-2025-8088. Błąd dotyczy wersji przeznaczonych dla syste...