In una recente e preoccupante scoperta, hacker altamente qualificati hanno guadagnato accesso non autorizzato a numerose reti aziendali sfruttando una vulnerabilità 0-day in un firewall di Palo Alto Networks. Questa vulnerabilità, che è stata sfruttata attivamente per almeno due settimane, consente agli hacker di eseguire codice malevolo con privilegi di root, il livello più alto di accesso al sistema, senza richiedere alcuna autenticazione.
Impatto e gravità della vulnerabilità
La gravità della compromissione e la facilità con cui può essere sfruttata hanno assegnato alla vulnerabilità CVE-2024-3400 un punteggio di gravità di 10.0, il punteggio più alto possibile. Questa vulnerabilità è presente in PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1 firewall quando sono configurati per utilizzare sia il GlobalProtect gateway che il device telemetry. Palo Alto Networks non ha ancora rilasciato una patch per la vulnerabilità, ma ha consigliato agli utenti interessati di seguire le misure di mitigazione e i consigli forniti.
Attori coinvolti e attacchi osservati
Al momento, solo un gruppo di attaccanti, denominato UTA0218, è stato osservato sfruttare questa vulnerabilità in attacchi limitati. Tuttavia, gli esperti di sicurezza ritengono che altri gruppi possano sviluppare exploit per questa vulnerabilità, il che potrebbe portare a un’ampia diffusione degli attacchi.
Le prime osservazioni di attacchi risalgono al 26 marzo, con il gruppo che testava la vulnerabilità posizionando file di zero byte sui dispositivi firewall per valutarne l’esploiabilità. Il 7 aprile, i ricercatori hanno osservato il gruppo tentare senza successo di installare un backdoor su un firewall di un cliente. Tre giorni dopo, il gruppo ha iniziato a distribuire malware dannoso con successo.
Misure di mitigazione e raccomandazioni
Per mitigare il rischio associato a questa vulnerabilità, Palo Alto Networks consiglia agli utenti interessati di adottare le seguenti misure:
- Abilitare Threat ID 95187: Se hai una sottoscrizione al servizio Threat Prevention di Palo Alto Networks, abilita Threat ID 95187 per proteggere la tua rete.
- Applica la protezione dalle vulnerabilità: Assicurati che la protezione dalle vulnerabilità sia applicata al tuo GlobalProtect interface.
- Disabilita temporaneamente il telemetry: Se non è possibile adottare le misure precedenti, disabilita temporaneamente il telemetry fino al rilascio di una patch.
Inoltre, gli esperti di sicurezza raccomandano di eseguire una revisione della compromissione dei dispositivi per determinare se sono necessarie ulteriori indagini sulla rete.
La vulnerabilità 0-day scoperta in un firewall di Palo Alto Networks sottolinea l’importanza di mantenere aggiornati i sistemi di sicurezza e di adottare misure proattive per proteggere le reti aziendali. Assicurati di seguire le raccomandazioni di Palo Alto Networks e di monitorare attivamente la tua rete per rilevare e mitigare eventuali attacchi dannosi. https://arstechnica.com/security/2024/04/highly-capable-hackers-root-corporate-networks-by-exploiting-firewall-0-day/
