Компания Palo Alto Networks выпустила исправления для устранения серьезной уязвимости в системе безопасности, влияющей на программное обеспечение PAN-OS, которое активно эксплуатируется в естественных условиях.
Критическая уязвимость, отслеживаемая как CVE-2024-3400 (оценка CVSS: 10.0), представляет собой случай внедрения команды в функцию GlobalProtect, которую злоумышленник, не прошедший проверку подлинности, может использовать для выполнения произвольного кода с правами root на брандмауэре.
Исправления этого недостатка доступны в следующих версиях -
"Эта проблема применима только к брандмауэрам PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1, настроенным с GlobalProtect gateway или GlobalProtect portal (или обоими) и включенной телеметрией устройства", - пояснила компания в своем обновленном уведомлении.
Также говорится, что, хотя CVE-2024-3400 не влияет на брандмауэры Cloud NGFW, это влияет на конкретные версии PAN-OS и отдельные конфигурации функций виртуальных машин брандмауэра, развернутых и управляемых клиентами в облаке.
Точное происхождение субъекта угрозы, использующего уязвимость, в настоящее время неизвестно, но подразделение Palo Alto Networks 42 отслеживает вредоносную активность под названием Operation MidnightEclipse.
Компания Volexity, которая приписала ее кластеру под названием UTA0218, сообщила, что CVE-2024-3400 использовался как минимум с 26 марта 2024 года для доставки в брандмауэр бэкдора на основе Python под названием UPSTYLE, который позволяет выполнять произвольные команды с помощью специально созданных запросов.
Неясно, насколько широко было распространено использование, но компания threat intelligence заявила, что у нее есть "доказательства потенциальной разведывательной деятельности, включающей более широкое использование, направленное на выявление уязвимых систем".
В задокументированных на сегодняшний день атаках UTA0218 наблюдалось развертывание дополнительных полезных нагрузок для запуска обратных оболочек, извлечения данных конфигурации PAN-OS, удаления файлов журналов и развертывания инструмента туннелирования Golang под названием GOST (GO Simple Tunnel).
Сообщается, что никакие другие последующие вредоносные программы или методы сохранения не были развернуты в сетях-жертвах, хотя неизвестно, было ли это преднамеренно или благодаря раннему обнаружению и реагированию.
Критическая уязвимость, отслеживаемая как CVE-2024-3400 (оценка CVSS: 10.0), представляет собой случай внедрения команды в функцию GlobalProtect, которую злоумышленник, не прошедший проверку подлинности, может использовать для выполнения произвольного кода с правами root на брандмауэре.
Исправления этого недостатка доступны в следующих версиях -
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1 и
- PAN-OS 11.1.2-h3
"Эта проблема применима только к брандмауэрам PAN-OS 10.2, PAN-OS 11.0 и PAN-OS 11.1, настроенным с GlobalProtect gateway или GlobalProtect portal (или обоими) и включенной телеметрией устройства", - пояснила компания в своем обновленном уведомлении.
Также говорится, что, хотя CVE-2024-3400 не влияет на брандмауэры Cloud NGFW, это влияет на конкретные версии PAN-OS и отдельные конфигурации функций виртуальных машин брандмауэра, развернутых и управляемых клиентами в облаке.
Точное происхождение субъекта угрозы, использующего уязвимость, в настоящее время неизвестно, но подразделение Palo Alto Networks 42 отслеживает вредоносную активность под названием Operation MidnightEclipse.
Компания Volexity, которая приписала ее кластеру под названием UTA0218, сообщила, что CVE-2024-3400 использовался как минимум с 26 марта 2024 года для доставки в брандмауэр бэкдора на основе Python под названием UPSTYLE, который позволяет выполнять произвольные команды с помощью специально созданных запросов.
Неясно, насколько широко было распространено использование, но компания threat intelligence заявила, что у нее есть "доказательства потенциальной разведывательной деятельности, включающей более широкое использование, направленное на выявление уязвимых систем".
В задокументированных на сегодняшний день атаках UTA0218 наблюдалось развертывание дополнительных полезных нагрузок для запуска обратных оболочек, извлечения данных конфигурации PAN-OS, удаления файлов журналов и развертывания инструмента туннелирования Golang под названием GOST (GO Simple Tunnel).
Сообщается, что никакие другие последующие вредоносные программы или методы сохранения не были развернуты в сетях-жертвах, хотя неизвестно, было ли это преднамеренно или благодаря раннему обнаружению и реагированию.
