知名防火墙厂商曝满分RCE漏洞,Palo Alto Networks警告漏洞正被利用
2024-4-15 17:54:39 Author: mp.weixin.qq.com(查看原文) 阅读量:12 收藏

网络安全巨头Palo Alto Networks警告客户,其防火墙工具中的0day漏洞正在被黑客利用。该公司在周五上午发布了关于CVE-2024-3400的公告(影响流行的GlobalProtect VPN产品),其严重性评分为10分最高分。Palo Alto Networks还表示,已经注意到有少数利用了这一漏洞的攻击。

这个命令注入漏洞源自GlobalProtect安全远程访问功能,可能允许远程未经身份验证的攻击者在PAN-OS防火墙设备上以root权限执行任意代码。美国网络安全与基础设施安全局(CISA)几乎立即将该漏洞添加到其已知被利用漏洞的列表中,表明联邦机构需要尽快修补此漏洞。与大多数漏洞给予的三周时间相比,CISA罕见地仅给予了联邦机构七天的时间来采取缓解措施。

据悉,网络安全公司Volexity的研究人员发现并报告了这个漏洞,并称很可能利用此漏洞的攻击者背后有国家支持。之所以会做出这一评估,主要是基于以下几点——开发利用该性质漏洞所需的资源、所针对的受害者类型、以及安装Python后门并进一步访问受害者网络的能力。

Volexity最初是在周三和周四注意到两个客户的防火墙存在可疑的网络流量,之后的进一步调查发现,黑客(称之为UTA0218)成功地远程利用了PAN-OS防火墙,创建了一个反向shell,并下载了其他工具到被攻击的设备上。攻击者从目标设备中导出数据,继而试图将其作为在组织内部横向移动的入口点。Volexity扩大调查范围后发现,从3月26日开始,多家客户和其他组织都受到了这个漏洞的攻击。

攻击者似乎是在最初几天内测试了漏洞的可利用性,然后在4月7日开始尝试全面利用。攻击者于周三攻击取得了成功,在这之后,黑客迅速在受害者的网络中横向移动,窃取了敏感的凭证及其他文件,这些文件能为其在入侵期间甚至入侵后提供访问权限。

Volexity警告称,由于漏洞的公开,未来几天可能会观察到利用的激增。Palo Alto Networks的公告中指出,补丁会在周日前提供给客户。此外,Palo Alto Networks还提供了几种缓解措施供客户采用:具有威胁预防订阅的客户可以通过启用威胁ID 95187来阻止攻击,并确保其GlobalProtect接口应用了漏洞保护。对于无法应用威胁预防缓解的客户,暂时禁用设备遥测也是一种解决方法。

研究报告链接:https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/

编辑:左右里

资讯来源:Palo Alto Networks、Volexity、scmagazine

转载请注明出处和本文链接



球分享

球点赞

球在看

“阅读原文一起来充电吧!

文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458550386&idx=2&sn=aeab9c8b463c21d5814fee418d11d660&chksm=b18db0f886fa39eed637d2366f40807332ee8581224bac3367901341778103525288a61d9abe&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh