A Palo Alto Networks divulgou orientações de remediação para uma falha de segurança crítica recentemente revelada que afeta o PAN-OS e que tem sido ativamente explorada.
A vulnerabilidade, identificada como
CVE-2024-3400
(pontuação CVSS: 10.0), pode ser utilizada para obter execução remota de comandos shell em dispositivos suscetíveis sem autenticação.
Ela foi corrigida em várias versões do PAN-OS 10.2.x, 11.0.x e 11.1.x.
Há evidências sugerindo que o problema tem sido explorado como um zero-day desde, pelo menos, 26 de Março de 2024, por um cluster de ameaças rastreado como UTA0218.
A atividade, denominada Operação MidnightEclipse, envolve o uso da falha para inserir um backdoor baseado em Python chamado UPSTYLE, que é capaz de executar comandos transmitidos via solicitações especialmente elaboradas.
As intrusões não foram vinculadas a um ator ou grupo de ameaças conhecido, mas suspeita-se que seja uma equipe de hacking apoiada por um estado, dada a perícia técnica e a vítimologia observadas.
O mais recente conselho de remediação oferecido pela Palo Alto Networks é baseado na extensão do comprometimento:
- Nível 0 Sonda: Tentativa de exploração sem sucesso - Atualize para o último hotfix fornecido.
- Nível 1 Teste: Evidência de que a vulnerabilidade está sendo testada no dispositivo, incluindo a criação de um arquivo vazio no firewall, mas sem execução de comandos não autorizados - Atualize para o último hotfix fornecido.
- Nível 2 Exfiltração Potencial: Indícios de que arquivos como "running_config.xml" foram copiados para um local acessível via solicitações web - Atualize para o último hotfix fornecido e realize um Private Data Reset.
- Nível 3 Acesso Interativo: Evidência de execução de comandos interativos, como a introdução de backdoors e outros códigos maliciosos - Atualize para o último hotfix fornecido e realize um Factory Reset.
"Realizar um Private Data Reset elimina riscos de uso indevido potencial dos dados do dispositivo", disse a Palo Alto Networks.
Um Factory Reset é recomendado devido à evidência de atividade mais invasiva por parte do ator de ameaça.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...