Το Palo Alto Networks προειδοποιεί για πιθανή ευπάθεια PAN-OS RCE

Σήμερα, η εταιρεία κυβερνοασφάλειας Palo Alto Networks προειδοποίησε τους πελάτες να περιορίσουν την πρόσβαση στα τείχη προστασίας επόμενης γενιάς τους λόγω μιας πιθανής ευπάθειας απομακρυσμένης εκτέλεσης κώδικα στη διεπαφή διαχείρισης PAN-OS.

Σε μια συμβουλή ασφαλείας που δημοσιεύθηκε την Παρασκευή, η εταιρεία είπε ότι δεν έχει ακόμη περισσότερες πληροφορίες σχετικά με αυτό το υποτιθέμενο ελάττωμα ασφαλείας και πρόσθεσε ότι δεν έχει ακόμη εντοπίσει σημάδια ενεργητικής εκμετάλλευσης.

“Η Palo Alto Networks γνωρίζει μια αξίωση για μια ευπάθεια απομακρυσμένης εκτέλεσης κώδικα μέσω της διεπαφής διαχείρισης PAN-OS. Προς το παρόν, δεν γνωρίζουμε τις ιδιαιτερότητες της αιτούμενης ευπάθειας. Παρακολουθούμε ενεργά για ενδείξεις οποιασδήποτε εκμετάλλευσης.” είπε.

“Συνιστούμε ανεπιφύλακτα στους πελάτες να διασφαλίσουν ότι η πρόσβαση στη διεπαφή διαχείρισης έχει διαμορφωθεί σωστά σύμφωνα με τις προτεινόμενες οδηγίες ανάπτυξης βέλτιστων πρακτικών.

“Οι πελάτες Cortex Xpanse και Cortex XSIAM με τη μονάδα ASM μπορούν να διερευνήσουν περιπτώσεις που εκτίθενται στο Διαδίκτυο ελέγχοντας τις ειδοποιήσεις που δημιουργούνται από τον κανόνα επιφάνειας επίθεσης σύνδεσης διαχειριστή του τείχους προστασίας Palo Alto Networks.”

Η εταιρεία συμβούλεψε τους πελάτες να αποκλείσουν την πρόσβαση από το Διαδίκτυο στη διεπαφή διαχείρισης PAN-OS των τείχη προστασίας τους και να επιτρέπουν μόνο συνδέσεις από αξιόπιστες εσωτερικές διευθύνσεις IP.

Σύμφωνα με ξεχωριστό έγγραφο υποστήριξης στον ιστότοπο της κοινότητας του Palo Alto Networks, οι διαχειριστές μπορούν επίσης να λάβουν ένα ή περισσότερα από τα ακόλουθα μέτρα για να μειώσουν την έκθεση της διεπαφής διαχείρισης:

• Απομονώστε τη διεπαφή διαχείρισης σε ένα αποκλειστικό VLAN διαχείρισης.
• Χρησιμοποιήστε διακομιστές jump για πρόσβαση στην IP mgt. Οι χρήστες ελέγχουν ταυτότητας και συνδέονται στον διακομιστή jump πριν συνδεθούν στο τείχος προστασίας/Πανόραμα.
• Περιορίστε τις εισερχόμενες διευθύνσεις IP στη διεπαφή mgt σε εγκεκριμένες συσκευές διαχείρισης. Αυτό θα μειώσει την επιφάνεια επίθεσης αποτρέποντας την πρόσβαση από μη αναμενόμενες διευθύνσεις IP και αποτρέπει την πρόσβαση με χρήση κλεμμένων διαπιστευτηρίων.
• Να επιτρέπεται μόνο ασφαλής επικοινωνία όπως SSH, HTTPS.
• Επιτρέψτε μόνο το PING για δοκιμή συνδεσιμότητας στη διεπαφή.

Ένα κρίσιμο ελάττωμα ελέγχου ταυτότητας που λείπει που χρησιμοποιείται στις επιθέσεις

Την Πέμπτη, η CISA προειδοποίησε επίσης για συνεχιζόμενες επιθέσεις που εκμεταλλεύονται μια κρίσιμη ευπάθεια ελέγχου ταυτότητας που λείπει στο Palo Alto Networks Expedition που παρακολουθείται ως CVE-2024-5910. Αυτό το ελάττωμα ασφαλείας ήταν επιδιορθώθηκε τον Ιούλιο και οι φορείς απειλών μπορούν να το εκμεταλλευτούν εξ αποστάσεως για να επαναφέρουν τα διαπιστευτήρια διαχειριστή εφαρμογών σε διακομιστές Expedition που εκτίθενται στο Διαδίκτυο.

Αν και η CISA δεν έδωσε περισσότερες λεπτομέρειες για αυτές τις επιθέσεις, ο ερευνητής ευπάθειας του Horizon3.ai, Zach Hanley, δημοσίευσε μια εκμετάλλευση απόδειξης της ιδέας τον περασμένο μήνα που το συνδέει με μια ευπάθεια ένεσης εντολών (παρακολουθείται ως CVE-2024-9464) για να αποκτήσετε “μη επαληθευμένη” αυθαίρετη εκτέλεση εντολών σε ευάλωτους διακομιστές Expedition.

Το CVE-2024-9464 μπορεί επίσης να συνδεθεί με άλλα ελαττώματα ασφαλείας—που επιλύθηκαν από την Palo Alto Networks τον Οκτώβριο—για να αναλάβει λογαριασμούς διαχειριστή και να παραβιάσει τα τείχη προστασίας PAN-OS.

Η υπηρεσία κυβερνοασφάλειας των ΗΠΑ επίσης προστέθηκε την ευπάθεια CVE-2024-5910 σε αυτήν Κατάλογος γνωστών εκμεταλλευόμενων ευπαθειώνδιατάσσοντας τις ομοσπονδιακές υπηρεσίες να ασφαλίσουν τα συστήματά τους από επιθέσεις εντός τριών εβδομάδων, έως τις 28 Νοεμβρίου.

«Αυτοί οι τύποι τρωτών σημείων αποτελούν συχνούς φορείς επιθέσεων για κακόβουλους κυβερνοχώρους και θέτουν σημαντικούς κινδύνους για την ομοσπονδιακή επιχείρηση», προειδοποίησε η CISA.