Новости 22 500 брандмауэров под ударом: как хакеры выполняют рутинг в PAN-OS

[NewsMaker]

Palo Alto раскрыла больше подробностей о критической уязвимости в PAN-OS.

---

---

Palo Alto Networks Для просмотра ссылки Войди или Зарегистрируйся критической уязвимости в операционной системе PAN-OS, которая стала объектом активной эксплуатации.

Уязвимость Для просмотра ссылки Войди или Зарегистрируйся (оценка CVSS: 10.0) представляет собой комбинацию двух ошибок в версиях PAN-OS 10.2, 11.0 и 11.1. Первая ошибка связана с недостаточной проверкой формата идентификатора сессии сервисом GlobalProtect перед их сохранением, что позволяет атакующему сохранять файлы с произвольными именами. Вторая проблема заключается в том, что система ошибочно доверяет этим файлам, используя их имена в составе системных команд. Совместно, две уязвимости позволяют выполнить команды от имени системы без аутентификации.

Атаки с использованием данной уязвимости специалисты Palo Alto Для просмотра ссылки Войди или Зарегистрируйся под кодовым названием «MidnightEclipse», отмечая, что за ними стоит субъект угрозы под кодовым названием UTA0218, чьё происхождение пока не было определено.

Атака состоит из двух этапов: на первом этапе хакер отправляет специально сформированные запросы, содержащие команду, а на втором — системная задача, выполняемая по расписанию, использует это имя файла для выполнения команды.

---

---

Этапы атаки

Специалисты из Unit 42 и компании Volexity Для просмотра ссылки Войди или Зарегистрируйся что первоначальный механизм сохранения уязвимости включал установку cron-задачи для загрузки и выполнения вредоносного кода с использованием инструмента GOST.

Специалисты Volexity Для просмотра ссылки Войди или Зарегистрируйся что злоумышленники использовали брандмауэры Palo Alto для создания обратного соединения (Reverse Shell), загрузки дополнительных инструментов, проникновения во внутренние сети и кражи данных.

После выявления уязвимости Palo Alto Networks Для просмотра ссылки Войди или Зарегистрируйся операционной системы, чтобы предотвратить дальнейшие атаки. Также было подтверждено, что наличие телеметрии на устройстве не влияет на эксплуатацию уязвимости.

Агентство CISA Для просмотра ссылки Войди или Зарегистрируйся уязвимость в свой каталог известных эксплуатируемых уязвимостей (KEV) и призвало федеральные агентства обеспечить безопасность своих устройств к 19 апреля 2024 года.

Также специалисты из лаборатории watchTowr Labs проанализировали уязвимость и представили доказательство концепции, демонстрирующее, как с помощью инъекции команд можно манипулировать устройствами, не защищёнными последними обновлениями. <span style="font-family: var(--ui-font-family-primary, var(--ui-font-family-helvetica));">Кроме того, стало известно, что уязвимость уже активно использовалась в марте для установки закладок в брандмауэрах с помощью вредоносного ПО Upstyle, что позволяло атакующим получить доступ к внутренним сетям и краже данных.</span>

По Для просмотра ссылки Войди или Зарегистрируйся Shadowserver Foundation, примерно 22 542 доступных в интернете устройства защиты могут быть подвержены атакам, преимущественно в США, Японии, Индии, Германии, Великобритании, Канаде, Австралии, Франции и Китае.

---

---

География уязвимых устройств

Эксперты настоятельно рекомендуют пользователям немедленно применить выпущенные исправления для защиты от потенциальных угроз.