Palo Alto Networks corrige vulnerabilidade zero-day utilizada para instalar backdoors em firewalls
16 de Abril de 2024

A Palo Alto Networks iniciou a liberação de hotfixes para uma vulnerabilidade zero-day que vem sendo explorada ativamente desde 26 de março para inserir backdoors em firewalls PAN-OS.

Essa falha de segurança de máxima gravidade ( CVE-2024-3400 ) afeta os firewalls PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1, com a telemetria de dispositivo e GlobalProtect (gateway ou portal) habilitados.

Atores de ameaças não autenticados podem explorá-la remotamente para obter execução de código root através de injeção de comando em ataques de baixa complexidade que não requerem interação do usuário.

"A Palo Alto Networks está ciente de um número limitado de ataques que exploram essa vulnerabilidade", a empresa alertou na sexta-feira, quando divulgou o zero-day.

A empresa agora corrigiu a falha de segurança em lançamentos de hotfix para PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 e PAN-OS 11.1.2-h3.

Mais hotfixes serão disponibilizados para versões posteriores do PAN-OS nos próximos dias.

De acordo com o aviso da Palo Alto Networks, Cloud NGFW, aparelhos Panorama e Prisma Access não estão expostos a ataques via essa vulnerabilidade.

Admins que ainda aguardam um hotfix podem desabilitar o recurso de telemetria do dispositivo em dispositivos vulneráveis até que um patch seja implantado.

Aqueles com uma assinatura ativa de 'Prevenção de Ameaças' também podem bloquear ataques em andamento ativando a mitigação baseada em prevenção de ameaças 'Threat ID 95187'.

O aviso da Palo Alto Networks sobre a exploração ativa foi confirmado pela empresa de segurança Volexity, que descobriu a falha zero-day e detectou atores de ameaças usando-a para inserir backdoors em dispositivos PAN-OS usando malware Upstyle, invadir redes e roubar dados.

A Volexity está acompanhando essa atividade maliciosa sob o código UTA0218 e acredita que atores de ameaças patrocinados por estados provavelmente estão por trás desses ataques em andamento.

"No momento da redação, a Volexity não conseguiu vincular a atividade a outras atividades de ameaça", disse a Volexity na sexta-feira.

"A Volexity avalia que é altamente provável que UTA0218 seja um ator de ameaça apoiado pelo estado, baseado nos recursos necessários para desenvolver e explorar uma vulnerabilidade dessa natureza, o tipo de vítimas visadas por esse ator e as capacidades demonstradas para instalar o backdoor Python e acessar outras redes de vítimas."

O pesquisador de ameaças Yutaka Sejiyama revelou na sexta-feira que encontrou mais de 82.000 dispositivos PAN-OS expostos online e vulneráveis a ataques CVE-2024-3400 0, 40% nos Estados Unidos.

A CISA adicionou a CVE-2024-3400 ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), ordenando que as agências federais protejam seus dispositivos aplicando a regra de mitigação de ameaças ou desabilitando a telemetria dentro de uma semana até 19 de abril.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...