Vulnerabilidade Do Firewall PAN-OS Em Exploração Ativa – Indicadores De Comprometimento Divulgados – Virus Killer – Recuperação de Site Invadido por Vírus e Malware

A Palo Alto Networks lançou novos indicadores de comprometimento (IoCs) um dia depois que o fornecedor de segurança de rede confirmou que uma nova vulnerabilidade zero-day impactando a interface de gerenciamento do firewall PAN-OS está sendo ativamente explorada na natureza.

Nesse sentido, a empresa observou atividade maliciosa originada dos seguintes endereços IP e direcionada aos endereços IP da interface Web de gerenciamento do PAN-OS que são acessíveis pela internet –
– 136.144.17[.]*
– 173.239.218[.]251
– 216.73.162[.]*

No entanto, a empresa alertou que esses endereços IP podem representar “VPNs de terceiros com atividades de usuários legítimas originadas desses IPs para outros destinos.”

A atualização do aviso da Palo Alto Networks indica que a falha está sendo explorada para implantar um shell da web em dispositivos comprometidos, permitindo que os atores de ameaças ganhem acesso remoto persistente.

A vulnerabilidade, que ainda não recebeu um identificador CVE, tem uma pontuação CVSS de 9.3, indicando uma gravidade crítica. Permite execução remota de comandos não autenticados.

De acordo com a empresa, a vulnerabilidade não requer interação ou privilégios do usuários para ser explorada, e sua complexidade de ataque foi considerada “baixa.”

Dito isso, a gravidade da falha cai para alta (pontuação CVSS: 7,5) caso o acesso à interface de gerenciamento seja restrito a um grupo limitado de endereços IP, momento em que o ator de ameaças terá que obter acesso privilegiado a esses IPs primeiro.

Em 8 de novembro de 2024, a Palo Alto Networks começou a aconselhar aos clientes a garantir a segurança de suas interfaces de gerenciamento de firewall em meio a relatos de uma falha de execução de código remoto (RCE). Desde então, foi confirmado que a misteriosa vulnerabilidade foi abusada contra um “número limitado” de instâncias.

Atualmente, não há detalhes sobre como a vulnerabilidade veio à tona, os atores de ameaças por trás da exploração e os alvos desses ataques. Os produtos Prisma Access e Cloud NGFW não são impactados pela falha.

Os patches para a vulnerabilidade ainda não foram lançados, tornando imperativo que os usuários tomem medidas imediatas para garantir o acesso à interface de gerenciamento, se ainda não o fizeram.

O aviso vem à tona enquanto três falhas críticas diferentes na Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463 e CVE-2024-9465) estão sendo exploradas ativamente, de acordo com a Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA). Neste estágio, não há evidências sugerindo que as atividades estão relacionadas.

(Esta é uma história em desenvolvimento. Volte para mais atualizações.)

Você também pode gostar

Grupo De Cibercrime Marroquino Rouba Até $100K Diariamente Através De Fraude Com Cartões Presente

Red Teaming é uma parte crucial da segurança proativa do GenAI que ajuda a mapear e medir os riscos de IA

Vazamento da ‘Ameaça’ Russa é parte de uma tentativa de sabotar a reforma da vigilância dos EUA, dizem fontes.