‫ بیش از 2000 فایروال شبکه پالو آلتو هک شد

بنیاد Shadowserver گزارش می‌دهد که بیش از 2000 فایروال شبکه Palo Alto از طریق دو آسیب‌پذیری روز صفر هک شده‌اند. 
 

محققان امنیت سایبری در Shadowserver فاش کردند که تقریباً 2000 فایروال شبکه پالو آلتو در معرض خطر قرار گرفته است. این نقض‌ها دو آسیب‌پذیری روز صفر را در نرم‌افزار PAN-OS این شرکت شناسایی کرده‌اند. این آسیب‌پذیری‌ها با نام‌های CVE-2024-0012 و CVE-2024-9474 برچسب‌گذاری شده‌اند.

آسیب‌پذیری‌ها
CVE-2024-0012: این آسیب‌پذیری یک دور زدن احراز هویت در رابط وب مدیریت PAN-OS است. این به مهاجمان راه دور اجازه می‌دهد تا بدون احراز هویت، امتیازات مدیر را به دست آورند. این بدان معنی است که مهاجمان می‌توانند تنظیمات دیوار آتش را دستکاری کنند و آنها را در معرض سوء‌استفاده بیشتر قرار دهند.

CVE-2024-9474: این نقص یک مسئله تشدید امتیاز است. پس از سوء‌استفاده، به مهاجمان اجازه می‌دهد تا دستورات را با امتیازات ریشه اجرا کنند و به آنها کنترل کامل بر فایروال در معرض خطر را می‌دهد.

عملیات قمری پیک - فعالیت تهدید مداوم
شبکه‌های پالو آلتو، بهره‌برداری اولیه از این آسیب‌پذیری‌ها را «عملیات Lunar Peek» نامگذاری کرده است. Palo Alto Networks ابتدا در 8 نوامبر به مشتریان در مورد محدودیت دسترسی به فایروال‌های نسل بعدی خود به دلیل نقص نامشخص اجرای کد از راه دور هشدار داد.

از آن زمان، این شرکت پس از انتشار عمومی بینش‌های فنی توسط محققان شخص ثالث در 19 نوامبر 2024، افزایش قابل توجهی در فعالیت تهدید مشاهده کرده است.

واحد 42، تیم اطلاعاتی تهدید شبکه‌های پالو آلتو، با اطمینان متوسط ​​تا بالا ارزیابی می‌کند که یک زنجیره بهره‌برداری عملکردی CVE-2024-0012 و CVE-2024-9474 در دسترس عموم است، که می‌تواند منجر به فعالیت تهدید گسترده‌تر شود.

این شرکت در حال حاضر در حال بررسی حملات جاری است که شامل زنجیره‌سازی این دو آسیب‌پذیری برای هدف قرار دادن تعداد محدودی از رابط‌های وب مدیریت دستگاه است. این شرکت مشاهده کرده است که عوامل تهدید بدافزار را حذف می‌کنند و دستوراتی را روی فایروال‌های آسیب‌ دیده اجرا می‌کنند، که نشان می‌دهد احتمالاً یک سوءاستفاده زنجیره‌ای در حال حاضر در حال استفاده است.

توصیه هایی برای کاربران
Palo Alto Networks چندین توصیه برای کاهش خطر ارائه کرده است:

نظارت و بررسی: کاربران باید هرگونه فعالیت مشکوک یا غیرعادی در دستگاه‌های دارای رابط وب مدیریتی را که در معرض اینترنت قرار دارند نظارت کنند. پس از اعمال وصله، بررسی تنظیمات فایروال و گزارش‌های حسابرسی برای هر گونه نشانه‌ای از فعالیت غیرمجاز سرپرست بسیار مهم است.

وصله فوری: به مشتریان توصیه می‌شود سیستم‌های خود را برای دریافت آخرین وصله‌هایی که CVE-2024-0012 و CVE-2024-9474 را اصلاح می‌کنند، به روز کنند. اطلاعات دقیق درباره محصولات و نسخه‌های آسیب‌ دیده را می‌توانید در مشاوره‌های امنیتی Palo Alto Networks بیابید.

محدود کردن دسترسی: برای کاهش خطر، Palo Alto Networks توصیه می‌کند که دسترسی به رابط وب مدیریت را فقط به آدرس‌های IP داخلی قابل اعتماد محدود کنید. این مطابق با دستورالعمل‌های استقرار بهترین عملکرد توصیه شده آنها است.

بینش تخصصی
الاد لوز، رئیس تحقیقات Oasis Security، بر اهمیت اقدام فوری حتی قبل از پچ کردن تاکید می‌کند. او به مشتریان آسیب دیده توصیه می‌کند که دسترسی به رابط مدیریت وب را محدود کنند و ترجیحاً فقط IP‌های داخلی را مجاز کنند. Luz همچنین بر لزوم اطمینان از اینکه دستگاه‌ها پس از وصله‌سازی از هرگونه بدافزار یا پیکربندی مخرب بالقوه عاری هستند، تأکید می‌کند.