Palo Alto Networks potwierdziło w piątek 8 listopada, że w atakach wykorzystywana jest nowo odkryta luka typu zero-day. Tego dnia firma, popularna również w Polsce, wezwała klientów do zapewnienia bezpieczeństwa dostępu do interfejsu zarządzania PAN-OS.
Nie obyło się jednak bez odrobiny zamieszania. Początkowo Palo Alto stwierdziło, że nie zauważyło żadnych oznak wykorzystania luki typu zero-day, ale w piątek przyznało się do błędu i zaktualizowało ostrzeżenie, mówiąc, że jednak: „zaobserwowało aktywność wykorzystującą nieuwierzytelnioną lukę w zabezpieczeniach umożliwiającą zdalne wykonywanie poleceń w odniesieniu do ograniczonej liczby interfejsów zarządzania zaporą, które są narażone na działanie Internetu”.
Nadal nie jest jasne, w jaki sposób luka wyszła na jaw, kto ją wykorzystał i kto był celem ataków.
Identyfikator CVE nie został jeszcze przypisany, ale luka ma ona wynik CVSS wynoszący 9,3, co plasuje ją w kategorii „krytycznej wagi”.
Palo Alto poinformowało klientów, że pracuje nad poprawkami i sygnaturami zapobiegania zagrożeniom, które ma nadzieję wkrótce udostępnić.
W międzyczasie klientom zalecono upewnienie się, że dostęp do interfejsu zarządzania zaporą jest możliwy tylko z zaufanych adresów IP, a nie z Internetu. Firma podkreśla, że jest to bardzo dobra praktyka: „Jeśli dostęp do interfejsu zarządzania jest ograniczony do adresów IP, ryzyko wykorzystania jest znacznie ograniczone, ponieważ każdy potencjalny atak wymagałby najpierw uprzywilejowanego dostępu do tych adresów IP”.
Firma uważa, że produkty Prisma Access i Cloud NGFW nie są zagrożone.
To nie jest jedyna luka w zabezpieczeniach produktu Palo Alto, której wykorzystanie wyszło na jaw w ostatnich dniach. Amerykańska agencja ds. cyberbezpieczeństwa CISA poinformowała, że jest świadoma trzech luk w zabezpieczeniach Palo Alto Networks Expedition, które zostały wykorzystane w atakach. My pisaliśmy w kwietniu tego roku o zero-dayu, który narażał 6000 podatnych instancji. Można o tym przeczytać tutaj.
Wcześniej głośna była sprawa wykorzystania innej luki, CVE-2024-340, przez grupę określaną jako „UTA0218”.
Na działania tego aktora zwróciło uwagę Volexity, oceniając za wysoce prawdopodobne, że UTA0218 jest aktorem zagrożeń wspieranym przez państwo. Wywnioskowano to na podstawie zasobów wymaganych do analizy i wykorzystania luki tego rodzaju, doboru ofiar oraz możliwości technicznych, m.in. wykazania się instalacją wyrafinowanego backdoora pisanego w Pythonie.