超2000 台 Palo Alto Networks 设备遭入侵
2024-11-25 11:36:25 Author: www.freebuf.com(查看原文) 阅读量:8 收藏

freeBuf

主站

分类

漏洞 工具 极客 Web安全 系统安全 网络安全 无线安全 设备/客户端安全 数据安全 安全管理 企业安全 工控安全

特色

头条 人物志 活动 视频 观点 招聘 报告 资讯 区块链安全 标准与合规 容器安全 公开课

官方公众号企业安全新浪微博

FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。

FreeBuf+小程序

FreeBuf+小程序

美国或成此次感染“重灾区”

据相关结果显示,大约有2000台Palo Alto Networks设备在一场利用新披露的安全漏洞的活动中被入侵,这些漏洞正在野外受到积极利用。根据Shadowserver Foundation提供的统计数据,大多数感染报告来自美国(554例)和印度(461例),其次是泰国(80例)、墨西哥(48例)、印度尼西亚(43例)、土耳其(41例)、英国(39例)、秘鲁(36例)和南非(35例)。Censys本周早些时候透露,他们已识别出13,324个公开暴露的下一代防火墙(NGFW)管理界面,其中34%的暴露位于美国。需要注意的是,并非所有暴露的主机都必然会受攻击。

有问题的缺陷CVE-2024-0012(CVSS 评分:9.3)和 CVE-2024-9474(CVSS 评分:6.9)是身份验证绕过和权限提升的组合,可能允许不良行为者执行恶意操作,包括修改配置和执行任意代码。

何为更有效的应对措施

Palo Alto Networks 表示正在以 Operation Lunar Peek 的名义跟踪最初对漏洞的零日漏洞利用,他们正在被武器化以实现命令执行并将恶意软件(例如基于 PHP 的 Web shell)投放到被黑客入侵的防火墙上。

网络安全供应商还说,针对安全漏洞的网络攻击可能会在将它们组合的漏洞利用可用后升级。为此,以中等到高度的置信度评估链接 CVE-2024-0012 和 CVE-2024-9474 的功能性漏洞是否公开可用,这将允许更广泛的威胁活动。此外,他们已经观察到手动和自动扫描活动,用户需尽快应用最新的修复程序,并根据推荐的最佳实践部署指南安全访问管理界面。尤其包括限制仅受信任的内部 IP 地址的访问,以防止来自 Internet 的外部访问。

用于丢弃Sliver Crypto 矿工的PAN 缺陷

Palo Alto Networks 最新披露,受感染设备的实际数量小于报告的数量,因为后者仅显示暴露于Internet 管理界面的防火墙。除了与受影响的客户合作外,其大多数客户已经遵循行业最佳实践并保护其管理界面,只有不到 0.5% 的防火墙具有暴露于互联网的界面。

云安全公司 Wiz透露,在一周前发布有效的概念验证POC 漏洞后,在野外的漏洞利用尝试“急剧增加”,并且观察到威胁行为者将漏洞武器化,以投放 Web shell、Sliver 植入物和加密矿工。

参考资料:

https://thehackernews.com/2024/11/warning-over-2000-palo-alto-networks.html

本文为 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022


文章来源: https://www.freebuf.com/news/416069.html
如有侵权请联系:admin#unsafe.sh