A Palo Alto Networks iniciou a liberação de hotfixes para uma vulnerabilidade zero-day que vem sendo explorada ativamente desde 26 de março para inserir backdoors em firewalls PAN-OS.
Essa falha de segurança de máxima gravidade (
CVE-2024-3400
) afeta os firewalls PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1, com a telemetria de dispositivo e GlobalProtect (gateway ou portal) habilitados.
Atores de ameaças não autenticados podem explorá-la remotamente para obter execução de código root através de injeção de comando em ataques de baixa complexidade que não requerem interação do usuário.
"A Palo Alto Networks está ciente de um número limitado de ataques que exploram essa vulnerabilidade", a empresa alertou na sexta-feira, quando divulgou o zero-day.
A empresa agora corrigiu a falha de segurança em lançamentos de hotfix para PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 e PAN-OS 11.1.2-h3.
Mais hotfixes serão disponibilizados para versões posteriores do PAN-OS nos próximos dias.
De acordo com o aviso da Palo Alto Networks, Cloud NGFW, aparelhos Panorama e Prisma Access não estão expostos a ataques via essa vulnerabilidade.
Admins que ainda aguardam um hotfix podem desabilitar o recurso de telemetria do dispositivo em dispositivos vulneráveis até que um patch seja implantado.
Aqueles com uma assinatura ativa de 'Prevenção de Ameaças' também podem bloquear ataques em andamento ativando a mitigação baseada em prevenção de ameaças 'Threat ID 95187'.
O aviso da Palo Alto Networks sobre a exploração ativa foi confirmado pela empresa de segurança Volexity, que descobriu a falha zero-day e detectou atores de ameaças usando-a para inserir backdoors em dispositivos PAN-OS usando malware Upstyle, invadir redes e roubar dados.
A Volexity está acompanhando essa atividade maliciosa sob o código UTA0218 e acredita que atores de ameaças patrocinados por estados provavelmente estão por trás desses ataques em andamento.
"No momento da redação, a Volexity não conseguiu vincular a atividade a outras atividades de ameaça", disse a Volexity na sexta-feira.
"A Volexity avalia que é altamente provável que UTA0218 seja um ator de ameaça apoiado pelo estado, baseado nos recursos necessários para desenvolver e explorar uma vulnerabilidade dessa natureza, o tipo de vítimas visadas por esse ator e as capacidades demonstradas para instalar o backdoor Python e acessar outras redes de vítimas."
O pesquisador de ameaças Yutaka Sejiyama revelou na sexta-feira que encontrou mais de 82.000 dispositivos PAN-OS expostos online e vulneráveis a ataques
CVE-2024-3400
0, 40% nos Estados Unidos.
A CISA adicionou a
CVE-2024-3400
ao seu catálogo de Vulnerabilidades Exploradas Conhecidas (KEV), ordenando que as agências federais protejam seus dispositivos aplicando a regra de mitigação de ameaças ou desabilitando a telemetria dentro de uma semana até 19 de abril.
Publicidade
A primeira certificação prática brasileira de wireless hacking veio para mudar o ensino na técnica no país, apresentando labs práticos e uma certificação hands-on.
Todas as técnicas de pentest wi-fi reunidos em um curso didático e definitivo.
Saiba mais...