ハッカーは、最近パッチが適用された 2 つのゼロデイ脆弱性を悪用した攻撃で、すでに数千台の Palo Alto Networks ファイアウォールを侵害しました。
この2つのセキュリティ欠陥は、PAN-OS管理ウェブインターフェイスの認証バイパス(CVE-2024-0012)であり、リモートの攻撃者はこれを悪用して管理者権限を得ることができ、PAN-OSの権限昇格(CVE-2024-9474)により、ファイアウォール上でroot権限でコマンドを実行することができます。
CVE-2024-9474は今週月曜日に公開されましたが、同社は11月8日に、RCEの潜在的な欠陥(先週金曜日にCVE-2024-0012としてタグ付けされた)があるため、次世代ファイアウォールへのアクセスを制限するよう顧客に初めて警告しました。
パロアルトネットワークスは、「限られた数のデバイス管理ウェブ・インターフェース」を標的とした2つの欠陥を連鎖させる現在進行中の攻撃を調査中であり、脅威行為者が侵害されたファイアウォール上でマルウェアを投下し、コマンドを実行するのをすでに観測しており、連鎖的なエクスプロイトがすでに利用可能である可能性が高いと警告しています。
「2024年11月18日に報告されたこの最初の活動は、主に匿名VPNサービスのプロキシ/トンネルトラフィックとして知られているIPアドレスから発信されています。
「現時点では、Unit 42は、CVE-2024-0012とCVE-2024-9474を連結した機能的なエクスプロイトが一般に利用可能であり、より広範な脅威活動を可能にすると、中程度から高信頼性で評価している。
同社は、この攻撃は「ごく少数のPAN-OS」ファイアウォールにしか影響を与えないとしているが、脅威監視プラットフォームShadowserverは水曜日に、2,700台以上の脆弱なPAN-OSデバイスを追跡していると報告した。
Shadowserverは、侵害されたPalo Alto Networksのファイアウォールの数も追跡しており、この継続的なキャンペーンの開始以来、約2,000台がハッキングされていると述べています。
CISAは、両脆弱性をKnown Exploited Vulnerabilities Catalogに 追加し、連邦政府機関に対し、12月9日までに3週間以内にファイアウォールにパッチを当てるよう求めている。
11月上旬には、パロアルトネットワークスのファイアウォール設定移行ツール「Expedition」に存在するもう1つの致命的な認証欠落の欠陥(CVE-2024-5910)を悪用する攻撃者についても警告しており、この欠陥は7月にパッチが適用されている。
今年に入り、同社の顧客は、82,000台以上のデバイスに影響を与える、最大深刻度で積極的に悪用されるPAN-OSファイアウォールの脆弱性(CVE-2024-3400)にもパッチを適用する必要がありました。CISAはまた、CVE-2024-3400をKEVカタログに追加し、連邦政府機関に7日以内にデバイスを保護するよう求めた。
パロアルトネットワークスは水曜日、同社の顧客に対し、内部ネットワークへのアクセスを制限することで、ファイアウォールの管理インタフェースを保護するよう「強く」勧告した。
「弊社が推奨するベストプラクティスの導入ガイドラインに従って、信頼できる内部IPアドレスのみにアクセスを制限することで、管理ウェブインタフェースへのアクセスを保護すれば、これらの問題のリスクは大幅に軽減されます」と同社は述べている。
Comments