Vulnerabilidade do firewall PAN-OS sob exploração ativa - IoCs liberados

A Palo Alto Networks lançou novos indicadores de comprometimento (IoCs) um dia após a empresa de segurança de rede confirmar que uma nova vulnerabilidade zero-day, afetando a interface de gerenciamento do firewall PAN-OS, está sendo explorada ativamente no mundo real.

A empresa observou atividades maliciosas originadas dos seguintes endereços IP, direcionadas à interface web de gerenciamento do PAN-OS que são acessíveis pela internet:

• 136.144.17[.]*

• 173.239.218[.]251

• 216.73.162[.]*

No entanto, a empresa alertou que esses IPs podem representar VPNs de terceiros com atividades legítimas de usuários originadas desses IPs para outros destinos.

O aviso atualizado pela Palo Alto Networks indica que a falha está sendo explorada para implementar um web shell em dispositivos comprometidos, permitindo que atores de ameaça tenham acesso remoto persistente.

A vulnerabilidade, ainda sem um identificador CVE atribuído, tem um escore CVSS de 9.3, indicando severidade crítica. Ela permite a execução remota de comandos sem autenticação.

Segundo a empresa, a exploração da vulnerabilidade não requer interação ou privilégios do usuário, e a complexidade do ataque foi classificada como "baixa".

Contudo, a severidade da falha cai para alta (escore CVSS: 7.5) se o acesso à interface de gerenciamento for restrito a um conjunto limitado de endereços IP, onde o ator de ameaça precisará primeiro obter acesso privilegiado a esses IPs.

Em 8 de novembro de 2024, a Palo Alto Networks começou a aconselhar os clientes a protegerem suas interfaces de gerenciamento de firewall em meio a relatórios sobre uma falha de execução de código remoto (RCE). Desde então, foi confirmado que a vulnerabilidade misteriosa foi abusada contra um "número limitado" de instâncias.

Atualmente, não há detalhes sobre como a vulnerabilidade foi descoberta, os atores de ameaça por trás das explorações, nem os alvos desses ataques. Os produtos Prisma Access e Cloud NGFW não são afetados pela falha.

Até o momento, patches para a vulnerabilidade não foram lançados, tornando essencial que os usuários tomem medidas imediatas para proteger o acesso à interface de gerenciamento, caso ainda não o tenham feito.

O aviso surge enquanto três falhas críticas diferentes no Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463 e CVE-2024-9465) estão sob exploração ativa, conforme informado pela Agência de Segurança Cibernética e Infraestrutura dos EUA (CISA). Até agora, não há evidências que sugiram que as atividades estejam relacionadas.

Via - THN