Aktívne zneužívaná kritická zraniteľnosť Palo Alto

November 20, 2024

Spoločnosť Palo Alto vydala varovanie ohľadom bližšie nešpecifikovanej kritickej zraniteľnosti v manažmentovom rozhraní firewallov, ktorá umožňuje vzdialené vykonávanie príkazov. Zraniteľnosť je aktívne zneužívaná.
[Aktualizované 20.11.2024]

Zraniteľné systémy:

PAN-OS verzie staršej ako 10.2.12-h2, 11.0.6-h1, 11.1.5-h1 a 11.2.4-h1

Prisma Access a Cloud NGFW by podľa výrobcu nemali byť ovplyvnené.

Opis činnosti:

CVE-2024-0012 (CVSSv4.0 skóre 9,3)

Spoločnosť Palo Alto informovala o kritickej zraniteľnosti, ktorá umožňuje neautentifikovaným útočníkom vzdialene vykonávať príkazy v manažmentovom rozhraní firewallov. Bližšie informácie spoločnosť neuverejnila.

Palo Alto upozorňuje, že zraniteľnosť aktívne zneužívajú útočníci. Útoky smerujú na manažmentové rozhrania firewallov dostupné z internetu.

Možné škody:

Vzdialené vykonávanie príkazov

Odporúčania:

V súčasnosti Palo Alto pripravuje opravné aktualizácie. Do ich vydania spoločnosť odporúča zabezpečiť prístup ku manažmentovému rozhraniu podľa jej best practices.
Aktualizácia 20.11.2024: Spoločnosť vydala aktualizácie pre PAN-OS, ktoré zraniteľnosť opravujú. Bezodkladne aktualizujte PAN-OS aspoň na verziu 10.2.12-h2, 11.0.6-h1, 11.1.5-h1 alebo 11.2.4-h1. Palo Alto vydala opravy aj pre viaceré pod-verzie. Kompletný zoznam nájdete tu.

Indikátory kompromitácie:

IP (viaceré patria poskytovateľom VPN, teda nemusia súvisieť nevyhnutne s útokom):
91.208.197[.]167
104.28.208[.]123
136.144.17[.]146
136.144.17[.]149
136.144.17[.]154
136.144.17[.]158
136.144.17[.]161
136.144.17[.]164
136.144.17[.]166
136.144.17[.]167
136.144.17[.]170
136.144.17[.]176
136.144.17[.]177
136.144.17[.]178
136.144.17[.]180
173.239.218[.]248
173.239.218[.]251
209.200.246[.]173
209.200.246[.]184
216.73.162[.]69
216.73.162[.]71
216.73.162[.]73
216.73.162[.]74

PHP webshell (SHA256):
3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668

Odkazy: