Вредоносные хакеры взломали потенциально тысячи организаций, используя две новые уязвимости нулевого дня, обнаруженные в широко используемом программном обеспечении, разработанном гигантом в области кибербезопасности Palo Alto Networks.
Исследователи безопасности из Palo Alto Networks заявили в среду, что они наблюдали «ограниченный набор действий по эксплуатации», связанных с двумя уязвимостями в PAN-OS, операционной системе, на которой работают все межсетевые экраны нового поколения Palo Alto. Эти ошибки считаются «нулевыми днями», поскольку компания не успела выпустить исправления до того, как они были использованы.
Компания заявила, что наблюдала эксплуатацию двух ошибок, включая CVE-2024-0012, которая позволяет злоумышленнику с сетевым доступом к веб-интерфейсу управления получить привилегии администратора, а вторая ошибка, отслеживаемая как CVE-2024-9474, позволяет злоумышленнику выполнять действия на взломанном межсетевом экране с повышенными привилегиями.
При совместном использовании этих уязвимостей злоумышленник может удаленно установить вредоносный код на затронутые брандмауэры с максимально возможными привилегиями, что позволит получить более глубокий доступ к сети компании.
Компания Palo Alto Networks утверждает, что злоумышленники теперь используют собственный функциональный эксплойт, объединяющий эти две уязвимости, для атаки на «ограниченное число веб-интерфейсов управления устройствами», выходящих в Интернет.
По данным Shadowserver Foundation, некоммерческой организации, занимающейся сканированием и мониторингом Интернета на предмет использования уязвимостей, хакеры уже взломали более 2 000 затронутых брандмауэров Palo Alto Networks, используя два недавно исправленных дефекта. Некоммерческая организация обнаружила, что наибольшее количество взломанных устройств находится в Соединенных Штатах, за ними следует Индия, а также хакеры используют брандмауэры в Великобритании, Австралии и Китае.
Компания Palo Alto Networks отказалась подтвердить, сколько брандмауэров было взломано.
Американская компания Arctic Wolf, занимающаяся кибербезопасностью, сообщила на этой неделе, что ее исследователи также заметили хакеров, использующих две уязвимости в брандмауэрах Palo Alto еще 19 ноября для проникновения в сети клиентов, после того как был выпущен пробный вариант эксплойта.
«После успешной эксплуатации мы наблюдали, как субъекты угроз пытались перенести инструменты в среду и извлечь конфигурационные файлы со скомпрометированных устройств», - сообщил Андрес Рамос, исследователь угроз из Arctic Wolf, в блоге компании.
Компания Palo Alto Networks выпустила патчи для двух уязвимостей и призвала организации как можно скорее установить патчи. Американское агентство кибербезопасности CISA также добавило эти две уязвимости в свой каталог Known Exploited Vulnerabilities, который фактически предписывает гражданским федеральным агентствам исправлять свои системы в трехнедельный срок.
По словам исследователей из компании watchTowr Labs, которые провели реверсивный анализ патчей Palo Alto, дефекты возникли в результате элементарных ошибок в процессе разработки.
Это последняя за последние месяцы уязвимость, обнаруженная в корпоративных устройствах безопасности, таких как брандмауэры, VPN-продукты и средства удаленного доступа, которые находятся на границе сети компании и выполняют функцию цифровых ворот. Это уже второе крупное предупреждение Palo Alto Networks за год, наряду с дефектами, обнаруженными в аналогичных продуктах, разработанных поставщиками средств кибербезопасности Ivanti и Check Point.
Оригинал
Уникальность
