Поделиться
Критическая уязвимость в панелях управления файерволлов Palo Alto Networks уже под атаками
Уязвимость в PAN-OS позволяет получать контроль над устройством с помощью специально составленного сетевого запроса. Проблема перестаёт быть критической, если панель управления файерволлом недоступна из интернета.
В зависимости от соединения
Критическая уязвимость в операционной системе PAN-OS стала объектом кибератак еще до того, как о ней узнал вендор Palo Alto Networks.
Уязвимость, в настоящее время отслеживаемая под индексом PAN-SA-2024-0015, затрагивает интерфейсы управления файерволлами Palo Alto Networks — Next-Generation Firewalls.
Первое сообщение об уязвимости Palo Alto опубликовали 8 ноября: тогда клиентам компании было настоятельно рекомендовано ограничить доступ к управлению файерволлами в связи с «потенциальной» уязвимостью нулевого дня, которая допускает запуск произвольного кода.
На тот момент признаков реальной злонамеренной эксплуатации еще не было, но спустя неделю ситуация изменилась. Сейчас достоверно известно о серии IP-адресов - 136.144.17.*, 173.239.218.251 и 216.73.162.*, — с которых предпринимаются попытки взломать файерволлы Palo Alto Networks. Пользователям устройств рекомендовано заблокировать любые входящие соединения с этих адресов, хотя в сообщении компании указывается, что они могут относиться к легитимным VPN-сервисам, и соединения, направленные к другим точкам сети, могут не иметь вредоносной природы.
По умолчанию уязвимость получила оценку CVSS 9,3 балла из 10, что соответствует критическому уровню угрозы.
Если доступ к интерфейсу извне не ограничен ничем, кроме пароля, потенциальный злоумышленник может направить специально составленный запрос к файерволлу и благодаря ему получить контроль над устройством. С этого момента он сможет менять настройки, перенаправлять или перехватывать сетевой трафик и отключать средства безопасности.
Впрочем, степень угрозы резко падает в тех случаях, когда доступ к панели управления файерволлом оказывается ограничен несколькими IP-адресами из «белого списка». В этом случае злоумышленникам потребуется сначала получить привилегированный доступ к этим IP-адресам.
Обозреватели платформы мониторинга угроз The Shadowsever Foundation на днях заявили, что наблюдают во всемирной сети 8726 IP-адреса, относящихся к устройствам под управлением PAN-OS, и это количество уменьшилось примерно на 2 тысячи за последнее время. Специалисты TSF призвали пользователей немедленно отключить общий доступ к панелям управления этих устройств.
В свою очередь, эксперт по информационной безопасности Ютака Седзияма (Yutaka Sejiyama) насчитал в Shodan 11180 IP-адресов, относящихся к уязвимым интерфейсам.
Ключ от всех дверей
«По идее подобные панели вообще не должны быть доступны извне, поскольку это в буквальном смысле «ключ от всех дверей», — отмечает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Между тем, уязвимости в таких интерфейсах обнаруживаются очень часто, и далеко не всегда вендор узнает о них первым. Панели управления подобного рода нуждаются в удвоенной защите с использованием не только паролей, но и закрытых от внешнего доступа соединений».
На данный момент рекомендуется перенастроить интерфейсы управления таким образом, чтобы минимизировать доступ к ним посторонних, и разместить их их в защищенной сети (VPN), чтобы доступ был на постоянном контроле.
Обновлений Palo Alto Networks еще не выпустил, но обещает представить их в ближайшее время.
Поделиться
Короткая ссылка
