O código de exploração agora está disponível para uma vulnerabilidade de máxima severidade e ativamente explorada no software de firewall PAN-OS da Palo Alto Networks.
Rastreada como
CVE-2024-3400
, essa falha de segurança permite que agentes de ameaças não autenticados executem código arbitrário como root através de injeção de comando em ataques de baixa complexidade em firewalls vulneráveis PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1, caso a telemetria do dispositivo e a funcionalidade GlobalProtect (portal ou gateway) estejam ativadas.
Enquanto a Palo Alto Networks começou a liberar hotfixes na segunda-feira para proteger firewalls não corrigidos expostos a ataques, a vulnerabilidade tem sido explorada como um zero-day desde 26 de março para instalar backdoors em firewalls usando o malware Upstyle, pivotar para redes internas e roubar dados por um grupo de ameaça acreditado ser patrocinado pelo estado e rastreado como UTA0218.
A plataforma de monitoramento de ameaças de segurança Shadowserver diz que vê mais de 156.000 instâncias de firewalls PAN-OS na Internet diariamente; no entanto, não fornece informações sobre quantos estão vulneráveis.
Na sexta-feira(12), o pesquisador de ameaças Yutaka Sejiyama também encontrou mais de 82.000 firewalls vulneráveis aos ataques
CVE-2024-3400
, 40% dos quais nos Estados Unidos.
Um dia após a Palo Alto Networks começar a liberar os hotfixes do
CVE-2024-3400
, a watchTowr Labs também divulgou uma análise detalhada da vulnerabilidade e um exploit de prova de conceito que pode ser usado para executar comandos shell em firewalls não corrigidos.
"Como podemos ver, injetamos nosso payload de injeção de comando no valor do cookie SESSID - que, quando um appliance GlobalProtect da Palo Alto tem a telemetria ativada - é então concatenado em uma string e, em última análise, executado como um comando shell", disse a watchTowr Labs.
O CTO da TrustedSec, Justin Elze, também compartilhou um exploit visto em ataques reais, permitindo que os atacantes baixassem o arquivo de configuração do firewall.
Em resposta aos ataques, a CISA adicionou o
CVE-2024-3400
ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) na sexta-feira, ordenando que as agências federais dos EUA protejam seus dispositivos em até sete dias, até 19 de abril.
Infelizmente, a Palo Alto Networks atualizou seu comunicado hoje, dia 17, para avisar que as mitigações anteriormente compartilhadas foram consideradas ineficazes na proteção dos dispositivos contra a vulnerabilidade.
"Versões anteriores deste comunicado, desabilitar a telemetria do dispositivo foi listado como uma ação de mitigação secundária. Desabilitar a telemetria do dispositivo não é mais uma mitigação eficaz", diz uma atualização do comunicado da Palo Alto.
A telemetria do dispositivo não precisa estar ativada para que os firewalls PAN-OS estejam expostos a ataques relacionados a essa vulnerabilidade.
Portanto, a melhor solução é instalar a última atualização do software PAN-OS para corrigir a vulnerabilidade.
Adicionalmente, se você tem uma assinatura ativa de 'Threat Prevention', você pode bloquear ataques em andamento ativando a mitigação baseada em 'Threat ID 95187'.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...