Estima-se que até 2.000 dispositivos da Palo Alto Networks tenham sido comprometidos como parte de uma campanha que abusa das novas falhas de segurança recém-divulgadas e que estão sendo ativamente exploradas.
De acordo com estatísticas compartilhadas pela Shadowserver Foundation, a maioria das infecções foi relatada nos EUA (554) e na Índia (461), seguidos pela Tailândia (80), México (48), Indonésia (43), Turquia (41), Reino Unido (39), Peru (36) e África do Sul (35).
No início desta semana, a Censys revelou que identificou 13.324 interfaces de gerenciamento de firewall de próxima geração (NGFW) expostas publicamente, com 34% dessas exposições localizadas nos EUA.
No entanto, é importante observar que nem todos esses hosts expostos são necessariamente vulneráveis.
As falhas em questão, CVE-2024-0012 (pontuação CVSS: 9.3) e
CVE-2024-9474
(pontuação CVSS: 6.9), são uma combinação de bypass de autenticação e escalada de privilégios que poderiam permitir a um ator mal-intencionado realizar ações maliciosas, incluindo modificar configurações e executar código arbitrário.
A Palo Alto Networks, que está acompanhando a exploração inicial das falhas sob o nome Operação Lunar Peek, disse que elas estão sendo armadas para alcançar execução de comando e soltar malware, como web shells baseados em PHP, em firewalls hackeados.
O fornecedor de segurança de rede também alertou que ataques cibernéticos visando as falhas de segurança provavelmente aumentarão após a disponibilidade de um exploit que as combine.
Nesse sentido, disse "avaliar com confiança moderada a alta que um exploit funcional encadeando CVE-2024-0012 e
CVE-2024-9474
está disponível publicamente, o que permitirá uma atividade de ameaça mais ampla".
Além disso, observou que tem visto tanto atividades de varredura manuais quanto automatizadas, necessitando que os usuários apliquem as últimas correções o mais rápido possível e protejam o acesso à interface de gerenciamento conforme as diretrizes de melhores práticas de implementação recomendadas.
Isso inclui, particularmente, restringir o acesso apenas a endereços IP internos confiáveis para evitar o acesso externo pela internet.
A Palo Alto Networks informou ao The Hacker News que o número real de dispositivos infectados é menor do que o relatado pela Shadowserver Foundation, devido ao fato de que este último mostra apenas firewalls que têm interfaces de gerenciamento expostas à internet.
Além de trabalhar com clientes afetados, também disse que a maioria de seus clientes já segue as melhores práticas da indústria e protege suas interfaces de gerenciamento, e que menos de 0,5% de seus firewalls têm uma interface exposta à internet.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...