Palo Alto Networks披露了Palo Alto Networks PAN-OS GlobalProtect 功能中的一个最严重的零日漏洞,该漏洞存在远程代码执行 (RCE) 风险,并且正在被“能力很强的威胁行为者”利用。
该严重漏洞的编号为CVE-2024-3400,CVSS 最高评分为 10,并且尚未收到补丁,Palo Alto Networks 估计修补程序将在 4 月 14 日(周日)之前准备好。该命令注入缺陷源于 GlobalProtect安全远程访问功能可能允许未经身份验证的远程攻击者在 PAN-OS 防火墙设备上执行任意代码。
CVE-2024-3400 及其利用是由 Volexity 的研究人员发现的,他们在周三和周四收到了来自两个客户防火墙的可疑网络流量的警报。在首次利用漏洞被发现后不久,Volexity 就向 Palo Alto Networks 报告了该漏洞,Volexity 和 Palo Alto 均于周五公开披露了该漏洞。
进一步调查确定,同一威胁行为者(名为 UTA0218)以两名受害者为目标,并设法远程利用 PAN-OS 防火墙、创建反向 shell 并将其他工具下载到受感染的设备上。
“他们在受害者的网络中快速横向移动,提取敏感凭证和其他文件,以便在入侵期间和之后可能进行访问。攻击者采用的间谍手段和速度表明,威胁行为者能力很强,并且有明确的剧本,知道如何访问以进一步实现其目标。”Volexity 表示。
Volexity 在报告中还指出,该漏洞利用可能来自国家资助的行为者。进一步调查显示,早在 3 月 26 日,多个其他客户的 PAN-OS 防火墙就遭到了利用。
在至少两种情况下,威胁行为者试图下载研究人员称为“UPSTYLE”的自定义 Python 后门,这将使威胁行为者能够执行其他远程命令。
CVE-2024-3400 影响 PAN-OS 版本 11.1(从 11.1.2-h3 及更早版本)、11.0(从 11.0.4-h1 及更早版本)以及 10.2(从 10.2.9-h1 及更早版本)。
为了缓解影响,Palo Alto Networks 建议客户使用威胁防护订阅,通过启用威胁 ID 95187 来阻止攻击,并确保将漏洞保护应用于其 GlobalProtect 界面。暂时禁用设备遥测也被列为无法应用威胁防护缓解措施的客户的解决方法。
“拥有易受攻击的操作系统版本的组织应立即采取行动,通过在可能的情况下禁用与漏洞相关的功能来减轻威胁,并应准备在发布热修复程序时尽快修补,同时保持警惕。 KnowBe4 的安全意识倡导者 Erich Kron 在给 SC Media 的电子邮件中表示。
帕洛阿尔托网络公司还发布了自己的有关利用活动的简报,并将其称为“午夜食行动”。该报告指出,目前的利用仅限于一名威胁行为者,但“未来可能会有其他威胁行为者尝试利用该行为。”
周五,CVE-2024-3400 还被添加到美国网络安全和基础设施安全局 (CISA) 的已知被利用漏洞 (KEV) 目录中。
发表评论
您还未登录,请先登录。
登录