• صفحه خانگی
  • >
  • یییی اسلاید
  • >
  • بیش از ۲۰۰۰ فایروال Palo Alto با استفاده از سوءاستفاده اخیر شرکت که برطرف شده بودند، هک شده است.

بیش از ۲۰۰۰ فایروال Palo Alto با استفاده از سوءاستفاده اخیر شرکت که برطرف شده بودند، هک شده است.

بیش از 2000 فایروال Palo Alto با استفاده از سوءاستفاده اخیر شرکت که برطرف شده بودند، هک شده است.

هکرها قبلاً هزاران فایروال شبکه‌های Palo Alto Networks را در حملاتی که از دو آسیب‌پذیری Zero Day که به‌تازگی برای آن‌ها پچ منتشر شده، سوءاستفاده کرده‌اند، نفوذ کرده‌اند یا به خطر انداخته‌اند.

این دو نقص امنیتی (با شناسه‌های CVE-2024-0012 و CVE-2024-9474) به مهاجمان امکان می‌دهند:

  • از احراز هویت عبور کنند و دسترسی مدیریتی به دست آورند.
  • سپس، سطح دسترسی خود را ارتقا داده و دستورات خود را با بالاترین سطح دسترسی (root) روی فایروال اجرا کنند.

در حالی که آسیب‌پذیری CVE-2024-9474 این دوشنبه افشا شد، شرکت مذکور اولین بار در تاریخ ۸ نوامبر به مشتریان هشدار داد تا دسترسی به فایروال‌های نسل بعدی خود را به دلیل یک نقص احتمالی اجرای کد از راه دور (RCE) محدود کنند؛ نقصی که جمعه گذشته با عنوان CVE-2024-0012 برچسب‌گذاری شده بود.

شرکت Palo Alto Networks همچنان در حال بررسی حملات جاری است که از ترکیب این دو نقص برای هدف قرار دادن “تعداد محدودی از رابط‌های وب مدیریت دستگاه” استفاده می‌کنند. این شرکت مشاهده کرده است که مهاجمان بدافزار روی فایروال‌های نفوذ کرده نصب کرده و فرمان‌هایی را اجرا می‌کنند و هشدار داده است که احتمالاً یک اکسپلویت زنجیره‌ای (برای بهره‌برداری از این دو نقص) در حال حاضر در دسترس است.

شرکت روز چهارشنبه اعلام کرد: “فعالیت اولیه‌ای که در تاریخ ۱۸ نوامبر ۲۰۲۴ گزارش شد، عمدتاً از آدرس‌های IP‌ای سرچشمه می‌گرفت که برای پروکسی/تونل کردن ترافیک خدمات VPN ناشناس شناخته شده‌اند.”

در حال حاضر، واحد ۴۲ با اطمینان متوسط تا بالا ارزیابی می‌کند که یک اکسپلویت کاربردی که نقص‌های CVE-2024-0012 و CVE-2024-9474 را به هم متصل می‌کند، به‌صورت عمومی در دسترس است و این امر می‌تواند منجر به فعالیت‌های تهدیدآمیز گسترده‌تر شود.

اگرچه شرکت اعلام کرده است که این حملات تنها بر “تعداد بسیار کمی از فایروال‌های PAN-OS” تأثیر می‌گذارند، پلتفرم پایش تهدید Shadowserver روز چهارشنبه گزارش داد که بیش از ۲,۷۰۰ دستگاه PAN-OS آسیب‌پذیر را ردیابی می‌کند.

Shadowserver همچنین تعداد فایروال‌های شرکت Palo Alto Networks که مورد نفوذ قرار گرفته‌اند را ردیابی می‌کند و اعلام کرده است که تقریباً ۲,۰۰۰ دستگاه از ابتدای این کمپین جاری هک شده‌اند.

CISA هر دو آسیب‌پذیری را به فهرست آسیب‌پذیری‌های شناخته‌شده مورد بهره‌برداری اضافه کرده و اکنون از آژانس‌های فدرال خواسته است که فایروال‌های خود را ظرف سه هفته تا تاریخ ۹ دسامبر پچ کنند.

اوایل نوامبر، همچنین هشدار داده بود که مهاجمان از یک نقص بحرانی دیگر در ابزار مهاجرت پیکربندی فایروال Expedition شرکت Palo Alto Networks (CVE-2024-5910) سوءاستفاده می‌کنند؛ نقصی که در ماه ژوئیه پچ شده بود و می‌توان از آن برای بازنشانی اعتبارنامه‌های مدیر برنامه روی سرورهای Expedition که به اینترنت متصل هستند، سوءاستفاده کرد.

اوایل امسال، مشتریان شرکت همچنین مجبور به پچ کردن یک آسیب‌پذیری دیگر با شدت بالا و مورد بهره‌برداری فعال در فایروال‌های PAN-OS (CVE-2024-3400) شدند که بیش از ۸۲,۰۰۰ دستگاه را تحت تأثیر قرار داد. CISA همچنین CVE-2024-3400 را به فهرست آسیب‌پذیری‌های شناخته‌شده مورد بهره‌برداری (KEV) خود اضافه کرد و از آژانس‌های فدرال خواست که دستگاه‌های خود را ظرف هفت روز امن‌سازی کنند.

شرکت Palo Alto Networks روز چهارشنبه به شدت به مشتریان خود توصیه کرد که با محدود کردن دسترسی به شبکه داخلی، رابط‌های مدیریت فایروال‌های خود را ایمن‌سازی کنند.

شرکت اعلام کرد: “ریسک این مشکلات به‌طور قابل توجهی کاهش می‌یابد اگر دسترسی به رابط وب مدیریت را با محدود کردن دسترسی تنها به آدرس‌های IP داخلی معتبر، طبق دستورالعمل‌های پیشنهادی بهترین شیوه استقرار ما، ایمن‌سازی کنید.”

 

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *