I recenti attacchi ai firewall di Palo Alto Networks hanno destato preoccupazione tra gli esperti di sicurezza informatica. Secondo le ultime notizie, oltre 2.000 firewall sono stati compromessi utilizzando due vulnerabilità zero-day recentemente parchiate. In questo articolo, esploreremo i dettagli di questi attacchi, le vulnerabilità coinvolte e forniremo consigli pratici per proteggere i propri firewall.
Vulnerabilità Coinvolte
Le due vulnerabilità zero-day coinvolte sono:
- CVE-2024-0012: una vulnerabilità di bypass di autenticazione nella interfaccia web di gestione PAN-OS, che consente agli attaccanti di ottenere privilegi di amministratore.
- CVE-2024-9474: una vulnerabilità di escalation di privilegi che permette agli attaccanti di eseguire comandi sul firewall con privilegi root.
Queste vulnerabilità sono state scoperte e parchiate da Palo Alto Networks, ma gli attaccanti hanno già sfruttato queste falle per compromettere i firewall[1][2].
Attacchi e Compromissioni
Gli attacchi hanno iniziato a essere osservati a partire dal 18 novembre 2024, con la Shadowserver Foundation che ha rilevato oltre 2.700 dispositivi vulnerabili PAN-OS[1][2]. La maggior parte delle compromissioni è stata rilevata negli Stati Uniti, seguita da India, Regno Unito, Australia e Cina[2].
Palo Alto Networks ha confermato che gli attaccanti stanno utilizzando un exploit funzionale che combina le due vulnerabilità per ottenere accesso ai firewall con privilegi elevati. Questo permette agli attaccanti di piantare codice malizioso e eseguire comandi sulle linee guida del firewall, aumentando così l’accesso alla rete della vittima[1][2].
Consigli di Sicurezza
Per proteggere i propri firewall di Palo Alto Networks, è fondamentale seguire questi consigli di sicurezza:
- Limitare l’accesso alla interfaccia di gestione:
- Assicurarsi che solo le IP interne fidate possano accedere all’interfaccia di gestione del firewall. Questo può essere fatto configurando le impostazioni di rete per limitare l’accesso solo alle IP interne[1][2][4].
- Parchiare le vulnerabilità:
- Aggiornare i firewall con le patch più recenti per eliminare le vulnerabilità zero-day. Palo Alto Networks ha rilasciato patch per le vulnerabilità CVE-2024-0012 e CVE-2024-9474[1][2].
- Monitorare le attività di rete:
- Utilizzare strumenti di monitoraggio delle attività di rete per rilevare eventuali comportamenti sospetti. Questo può aiutare a identificare gli attacchi prima che si verifichino danni significativi[1][2].
- Implementare misure di sicurezza aggiuntive:
- Implementare misure di sicurezza aggiuntive come l’uso di VPN sicure e l’implementazione di politiche di accesso rigorose. Queste misure possono aiutare a ridurre il rischio di attacchi[1][2].
I recenti attacchi ai firewall di Palo Alto Networks sono un chiaro esempio della necessità di mantenere sempre aggiornate le protezioni di sicurezza. Seguendo i consigli di sicurezza forniti, è possibile ridurre significativamente il rischio di compromissione dei propri firewall. È importante rimanere aggiornati sulle ultime vulnerabilità e parchiare prontamente le patch rilasciate dalle aziende di sicurezza informatica.
