آژانس امنیت سایبری و امنیت زیرساختهای ایالات متحده (CISA) هشدار داد که مهاجمان در حال سوءاستفاده از یک آسیبپذیری بحرانی ناشی از نبود احراز هویت در ابزار مهاجرت Expedition شرکت Palo Alto Networks هستند؛ ابزاری که میتواند برای تبدیل تنظیمات فایروال از شرکتهای Checkpoint، Cisco و دیگر ارائهدهندگان به سیستمعامل PAN-OS کمک کند.
این آسیب پذیری که با شناسه CVE-2024-5910 شناسایی می شود به مهاجمان امکان میدهد که بدون دسترسی فیزیکی و از طریق اینترنت، رمزهای عبور حسابهای مدیر سیستم را در سرورهای در معرض اینترنت ابزار Expedition تغییر دهند. این آسیبپذیری در ماه ژوئیه اصلاح شده است، اما سرورهایی که هنوز بهروزرسانی نشدهاند، همچنان در معرض خطر هستند.
CISA میگوید: ابزار Expedition شرکت Palo Alto دارای یک آسیبپذیری ناشی از نبود احراز هویت است که به مهاجمی که به شبکه دسترسی دارد، امکان میدهد تا کنترل حساب مدیر Expedition را به دست بگیرد و احتمالاً به اطلاعات محرمانه پیکربندی، اعتبارنامهها و سایر دادهها دسترسی پیدا کند.
در حالی که آژانس امنیت سایبری هنوز جزئیات بیشتری درباره این حملات ارائه نداده است، Zach Hanley، محقق آسیبپذیری در شرکت Horizon3.ai، در ماه اکتبر یک نمونه اثبات مفهوم (PoC) از یک اکسپلویت منتشر کرد که میتواند این نقص بازنشانی حساب مدیر را با آسیبپذیری تزریق فرمان (command injection) با شناسه CVE-2024-9464 (که ماه گذشته اصلاح شده است) ترکیب کند تا امکان اجرای دستورات دلخواه بهصورت ‘بدون احراز هویت’ روی سرورهای Expedition آسیبپذیر فراهم شود.
آسیبپذیری با شناسه CVE-2024-9464 میتواند با دیگر نقصهای امنیتی (که آنها نیز توسط شرکت Palo Alto Networks در ماه اکتبر رفع شدهاند) ترکیب شود تا حسابهای مدیر فایروال را به تصرف درآورده و کنترل فایروالهای PAN-OS را به دست بگیرد.
اگر مدیران قادر به نصب سریع بهروزرسانیهای امنیتی نیستند، بهتر است دسترسی به Expedition را تنها به افراد یا دستگاههای مورد اعتماد محدود کنند تا از سوءاستفادههای احتمالی جلوگیری شود.
شرکت هشدار میدهد که پس از بهروزرسانی به نسخه اصلاحشده Expedition، تمام نامهای کاربری، رمزهای عبور و کلیدهای API Expedition باید تغییر داده شوند. همچنین، تمام نامهای کاربری، رمزهای عبور و کلیدهای API فایروال که توسط Expedition پردازش شدهاند، پس از بهروزرسانی باید تغییر یابند.
Palo Alto Networks هنوز اطلاعیه امنیتی خود را برای آگاهسازی مشتریان از حملات فعالی که از این آسیبپذیری سوءاستفاده میکنند، بهروزرسانی نکرده است.
CISA همچنین این آسیبپذیری را روز پنجشنبه به فهرست آسیبپذیریهای شناختهشده مورد سوءاستفاده اضافه کرد. طبق دستورالعمل عملیاتی الزامآور (BOD 22-01) که در نوامبر ۲۰۲۱ صادر شده است، اکنون آژانسهای فدرال ایالات متحده باید سرورهای Expedition آسیبپذیر در شبکههای خود را در برابر حملات در عرض سه هفته، تا تاریخ ۲۸ نوامبر، ایمن کنند.
آژانس امنیت سایبری اعلام کرده است که اینگونه آسیبپذیریها اغلب توسط هکرها مورد استفاده قرار میگیرند و تهدیدات جدی برای نهادهای دولتی به شمار میآیند.