Palo Alto Networks ha emesso un allarme di sicurezza per una grave vulnerabilità critica, CVE-2024-3400, che colpisce il software PAN-OS utilizzato nelle GlobalProtect gateways. La vulnerabilità è attualmente oggetto di attacchi e ha un CVSS score di 10.0, indicando la massima gravità.
Dettagli sulla vulnerabilità
La vulnerabilità si presenta come un’iniezione di comandi nel GlobalProtect feature di PAN-OS software per specifiche versioni e configurazioni distinte. Ciò potrebbe consentire a un attaccante non autenticato di eseguire codice arbitrario con privilegi di root sulla firewall.
Le versioni di PAN-OS interessate sono:
- PAN-OS < 11.1.2-h3
- PAN-OS < 11.0.4-h1
- PAN-OS < 10.2.9-h1
Le patch sono previste per il 14 aprile 2024.
La vulnerabilità è applicabile solo alle firewall con configurazioni abilitate per GlobalProtect gateway (Network > GlobalProtect > Gateways) e device telemetry (Device > Setup > Telemetry).
Attacchi in corso
Palo Alto Networks ha confermato di essere a conoscenza di un numero limitato di attacchi che sfruttano questa vulnerabilità.
La società di intelligence e risposta alle minacce Volexity è stata accreditata per la scoperta e la segnalazione del bug. Tuttavia, non sono state fornite altre informazioni tecniche sui dettagli degli attacchi o sull’identità degli attori delle minacce.
Raccomandazioni per la sicurezza
Palo Alto Networks raccomanda ai clienti con una sottoscrizione Threat Prevention di abilitare Threat ID 95187 per proteggersi dalla minaccia.
Aumento degli attacchi di zero-day
Questo allarme si aggiunge a una tendenza recente di attacchi di zero-day che hanno preso di mira Barracuda Networks, Fortinet, Ivanti e VMware da parte di attori delle minacce cinesi.
Le organizzazioni che utilizzano le GlobalProtect gateways di Palo Alto Networks dovrebbero applicare tempestivamente le patch previste per il 14 aprile 2024. Inoltre, è consigliabile abilitare Threat ID 95187 per proteggersi dalla minaccia.
Suggerimenti, soluzioni, consigli e best practice
- Applicare tempestivamente le patch: Le organizzazioni dovrebbero applicare tempestivamente le patch previste per il 14 aprile 2024 per mitigare il rischio di attacchi.
- Abilitare Threat ID 95187: I clienti con una sottoscrizione Threat Prevention dovrebbero abilitare Threat ID 95187 per proteggersi dalla minaccia.
- Monitorare attivamente la sicurezza: Le organizzazioni dovrebbero monitorare attivamente la sicurezza delle loro reti e delle loro firewall, cercando segni di attività sospette o irregolari.
- Implementare la segmentazione della rete: La segmentazione della rete può aiutare a limitare la diffusione di un attacco e a ridurre il rischio di compromissione del sistema.
- Educare gli utenti sulla sicurezza: La formazione e l’educazione degli utenti sulla sicurezza possono aiutare a prevenire gli attacchi di phishing e altri attacchi basati su social engineering.
- Implementare la gestione delle patch: Le organizzazioni dovrebbero implementare una strategia di gestione delle patch per garantire che tutte le applicazioni e i sistemi siano aggiornati con le ultime patch di sicurezza.
- Monitorare i log di sicurezza: L’analisi dei log di sicurezza può aiutare a rilevare gli attacchi e a identificare i responsabili.
- Implementare la sicurezza multifattore: La sicurezza multifattore può aiutare a prevenire gli attacchi di phishing e altri attacchi basati su social engineering. https://thehackernews.com/2024/04/zero-day-alert-critical-palo-alto.html
Fonte: http://thehackernews.com/2024/04/zero-day-alert-critical-palo-alto.html
