Palo Alto Networks поделилась рекомендациями по устранению недавно обнаруженной критической уязвимости безопасности, влияющей на PAN-OS, которая активно эксплуатируется.
Уязвимость, отслеживаемая как CVE-2024-3400 (оценка CVSS: 10.0), может быть использована для обеспечения выполнения команд удаленной оболочки без проверки подлинности на уязвимых устройствах. Она была устранена в нескольких версиях PAN-OS 10.2.x, 11.0.x и 11.1.x.
Есть основания полагать, что проблема использовалась как нулевой день как минимум с 26 марта 2024 года кластером угроз, отслеживаемым как UTA0218.
Действие под кодовым названием Operation MidnightEclipse предполагает использование ошибки для удаления бэкдора на основе Python под названием UPSTYLE, который способен выполнять команды, передаваемые через специально созданные запросы.
Вторжения не были связаны с известным субъектом угрозы или группой, но предполагается, что это хакерская группа, поддерживаемая государством, учитывая традиционность и наблюдаемую виктимологию.
Последние рекомендации по исправлению, предлагаемые Palo Alto Networks, основаны на степени компрометации -
Уязвимость, отслеживаемая как CVE-2024-3400 (оценка CVSS: 10.0), может быть использована для обеспечения выполнения команд удаленной оболочки без проверки подлинности на уязвимых устройствах. Она была устранена в нескольких версиях PAN-OS 10.2.x, 11.0.x и 11.1.x.
Есть основания полагать, что проблема использовалась как нулевой день как минимум с 26 марта 2024 года кластером угроз, отслеживаемым как UTA0218.
Действие под кодовым названием Operation MidnightEclipse предполагает использование ошибки для удаления бэкдора на основе Python под названием UPSTYLE, который способен выполнять команды, передаваемые через специально созданные запросы.
Вторжения не были связаны с известным субъектом угрозы или группой, но предполагается, что это хакерская группа, поддерживаемая государством, учитывая традиционность и наблюдаемую виктимологию.
Последние рекомендации по исправлению, предлагаемые Palo Alto Networks, основаны на степени компрометации -
- Проверка 0-го уровня: неудачная попытка эксплуатации - Обновите до последнего предоставленного исправления
- Тест уровня 1: Признаки уязвимости, тестируемой на устройстве, включая создание пустого файла в брандмауэре, но отсутствие выполнения несанкционированных команд - Обновите до последнего предоставленного исправления
- Потенциальная эксфильтрация 2-го уровня: признаки копирования файлов типа "running_config.xml" в папку, доступную через веб-запросы - Обновите до последнего предоставленного исправления и выполните сброс личных данных
- Интерактивный доступ 3-го уровня: Свидетельства интерактивного выполнения команд, такие как внедрение бэкдоров и другого вредоносного кода - Обновите до последнего предоставленного исправления и выполните сброс к заводским настройкам
