Palo Alto Networks apresenta soluções para ataques no PAN-OS
26 de Abril de 2024

A Palo Alto Networks divulgou orientações de remediação para uma falha de segurança crítica recentemente revelada que afeta o PAN-OS e que tem sido ativamente explorada.

A vulnerabilidade, identificada como CVE-2024-3400 (pontuação CVSS: 10.0), pode ser utilizada para obter execução remota de comandos shell em dispositivos suscetíveis sem autenticação.

Ela foi corrigida em várias versões do PAN-OS 10.2.x, 11.0.x e 11.1.x.

Há evidências sugerindo que o problema tem sido explorado como um zero-day desde, pelo menos, 26 de Março de 2024, por um cluster de ameaças rastreado como UTA0218.
A atividade, denominada Operação MidnightEclipse, envolve o uso da falha para inserir um backdoor baseado em Python chamado UPSTYLE, que é capaz de executar comandos transmitidos via solicitações especialmente elaboradas.

As intrusões não foram vinculadas a um ator ou grupo de ameaças conhecido, mas suspeita-se que seja uma equipe de hacking apoiada por um estado, dada a perícia técnica e a vítimologia observadas.
O mais recente conselho de remediação oferecido pela Palo Alto Networks é baseado na extensão do comprometimento:

- Nível 0 Sonda: Tentativa de exploração sem sucesso - Atualize para o último hotfix fornecido.

- Nível 1 Teste: Evidência de que a vulnerabilidade está sendo testada no dispositivo, incluindo a criação de um arquivo vazio no firewall, mas sem execução de comandos não autorizados - Atualize para o último hotfix fornecido.

- Nível 2 Exfiltração Potencial: Indícios de que arquivos como "running_config.xml" foram copiados para um local acessível via solicitações web - Atualize para o último hotfix fornecido e realize um Private Data Reset.

- Nível 3 Acesso Interativo: Evidência de execução de comandos interativos, como a introdução de backdoors e outros códigos maliciosos - Atualize para o último hotfix fornecido e realize um Factory Reset.

"Realizar um Private Data Reset elimina riscos de uso indevido potencial dos dados do dispositivo", disse a Palo Alto Networks.

Um Factory Reset é recomendado devido à evidência de atividade mais invasiva por parte do ator de ameaça.

Publicidade

Aprenda hacking e pentest na prática com esse curso gratuito

Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...