Palo Alto Networks PAN-OS Management Interface sérülékenysége
A Palo Alto Networks PAN-OS szoftverében található hitelesítési megkerülő funkció lehetővé teszi a felügyeleti webes felülethez hálózati hozzáféréssel rendelkező, hitelesítetlen támadók számára, hogy PAN-OS rendszergazdai jogosultságokat szerezzenek adminisztrációs műveletek végrehajtásához, a konfiguráció megváltoztatásához vagy más hitelesített jogosultság-kiterjesztési biztonsági rések, például a CVE- 2024-9474 https://security.paloaltonetworks.com/CVE-2024-9474. A probléma kockázata nagymértékben csökken, ha biztosítja a hozzáférést a felügyeleti webes felülethez azáltal, hogy csak megbízható belső IP-címekre korlátozza a hozzáférést a javasolt bevált gyakorlatok telepítési irányelveinek megfelelően https://live.paloaltonetworks.com/t5/community-blogs/ tippek-erősítő-trükkök-hogyan-biztosítsuk-a-palo/ba-p/464431-kezelési hozzáférését. Ez a probléma csak a PAN-OS 10.2, PAN-OS 11.0, PAN-OS 11.1 és PAN-OS 11.2 szoftverekre vonatkozik. A Cloud NGFW és a Prisma Access szolgáltatást nem érinti ez a biztonsági rés.
A hiba súlyossága KRITIKUS, így a hiba azonnali javítást igényel
Forrás: Nemzeti Kibervédelmi Intézet
A Volexity jelzése szerint feltehetően kínai fenyegetettségi szereplők hitelesítő adatok megszerzéséhez aktívan kihasználják a Fortinet FortiClient Windows VPN kliensének egy eddig még nem azonosított sebezhetőségét. A cég 2024 júliusában értesítette a gyártót, azonban a sebezhetőség azóta sincs patchelve.
Amíg a Fortinet nem ad ki biztonsági frissítést, javasolt korlátozni a VPN-hozzáférést, és figyelni a szokatlan bejelentkezéseket.
A szóban forgó sebezhetőség sok hasonlóságot mutat egy 2016-os (szintén nem javított) sérülékenységgel, azonban új hibának tekinthető, mert csak a kliens utóbbi verzióit ─ például v7.4.0-át ─ érinti. A sérülékenység lehetővé teszi, hogy a támadó kinyerje a memóriában tárolt hitelesítő adatokat, amivel azután perzisztenciát alakíthat ki a rendszeren, majd további rendszereket támadhat meg az adott infrastruktúrán.
A Volexity elemzésében a „BrazenBamboo” csoportnak tulajdonítja az azonosított támadást.
A régebbről ismert csoport több malware-t is alkalmaz, ilyen a LightSpy, a DeepPost, valamint a mostani támadásokban kulcsszerepet játszó DeepData.
Forrás: Nemzeti Kibervédelmi Intézet