Kwetsbaarheid in PAN-OS-firewall wordt actief misbruikt – IoC’s vrijgegeven

Palo Alto Networks heeft nieuwe Indicators of Compromis (IoC’s) vrijgegeven, een dag nadat de netwerkbeveiligingsleverancier bevestigde dat een nieuwe zero-day-kwetsbaarheid die van invloed is op de PAN-OS firewall-beheerinterface actief in het wild is uitgebuit.

Daartoe zei het bedrijf dat het kwaadwillige activiteiten heeft waargenomen die afkomstig waren van onderstaande IP-adressen en zich richtten op IP-adressen van de PAN-OS-beheerwebinterface die toegankelijk zijn via internet –

  • 136.144.17(.)*
  • 173.239.218(.)251
  • 216.73.162(.)*

Het bedrijf waarschuwde echter dat deze IP-adressen mogelijk “VPN’s van derden vertegenwoordigen met legitieme gebruikersactiviteit afkomstig van deze IP’s naar andere bestemmingen.”

Het bijgewerkte advies van Palo Alto Networks geeft aan dat de fout wordt uitgebuit om een ​​webshell op gecompromitteerde apparaten te implementeren, waardoor bedreigingsactoren voortdurend toegang op afstand kunnen verkrijgen.

De kwetsbaarheid, waaraan nog geen CVE-identificatie moet worden toegewezen, heeft een CVSS-score van 9,3, wat een kritieke ernst aangeeft. Het maakt het mogelijk om niet-geverifieerde opdrachten op afstand uit te voeren.

Volgens het bedrijf vereist de kwetsbaarheid geen gebruikersinteractie of privileges om te misbruiken, en wordt de complexiteit van de aanval als “laag” beschouwd.

Dat gezegd hebbende, daalt de ernst van de fout naar hoog (CVSS-score: 7,5) als de toegang tot de beheerinterface wordt beperkt tot een beperkte groep IP-adressen, in welk geval de bedreigingsactor eerst geprivilegieerde toegang tot die IP’s moet verkrijgen.

Op 8 november 2024 begon Palo Alto Networks klanten te adviseren om hun firewallbeheerinterfaces te beveiligen te midden van meldingen van een RCE-fout (Remote Code Execution). Sindsdien is bevestigd dat de mysterieuze kwetsbaarheid tegen een “beperkt aantal” gevallen is misbruikt.

Er zijn momenteel geen details over hoe de kwetsbaarheid aan het licht kwam, de dreigingsactoren achter de uitbuiting en de doelwitten van deze aanvallen. Prisma Access- en Cloud NGFW-producten worden niet beïnvloed door de fout.

Er moeten nog patches voor de kwetsbaarheid worden uitgebracht, waardoor het absoluut noodzakelijk is dat gebruikers onmiddellijk stappen ondernemen om de toegang tot de beheerinterface te beveiligen, als dat nog niet het geval is.

Het advies komt omdat drie verschillende kritieke tekortkomingen in de Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463 en CVE-2024-9465) actief zijn uitgebuit, volgens de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). ). In dit stadium zijn er geen aanwijzingen dat de activiteiten met elkaar verband houden.

(Dit is een verhaal in ontwikkeling. Kom later terug voor meer updates.)

Thijs Van der Does