Поделиться
Хакеры вовсю эксплуатируют недавно заделанную «дыру» в файерволлах Palo Alto Networks. Патчи получат не все
«Баг» в файерволлах PAN-OS позволяет обходить авторизацию и даже менять настройки. Но только при условии, что контрольная панель файерволла доступна извне.
Патч не для всех
Недавно исправленная уязвимость в файерволлах Palo Alto Network PAN-OS ожидаемо стала целью для хакерских атак. Речь идет об уязвимости CVE-2025-0108, относящейся к высокоопасному диапазону (но не критическому). Воспользовавшись ею, злоумышленники могут попытаться обойти аутентификацию в устройстве.
Кроме того, открывается возможность для вызова некоторых скриптов PHP, что, как указывается в бюллетене безопасности, можно привести к нарушению целостности и конфиденциальности данных.
Palo Alto Networks настоятельно рекомендует обновить программные оболочки файерволлов до следующих версий: 11.2.4-h4, 11.1.6-h1, 10.2.13-h3 и 10.1.14-h9.
Уязвимость затрагивает и PAN-OS 11.0, однако этот продукт уже не поддерживается и вендор не планирует выпускать никаких исправлений к нему.
Единственный способ уберечься - обновить само устройство.
Эксплойт уже в деле
«Баг» обнаружили исследователи компании Assetnote. Они же опубликовали расширенное описание, которое включает и «рецепт» по эксплуатации. В результате потенциальный злоумышленник может извлечь значимую системную информацию, например, настройки файерволла и, в теории, даже менять эти настройки.
Эксплойт использует путаницу, которая присутствует в оболочке PAN-OS относительно путей каталогов Nginx и Apache. Если злоумышленникам удается получить доступ к сетевому интерфейсу управления файерволлом (консоли), они могут воспользоваться уязвимостью для сбора данных о сетевом окружении или для ослабления защиты.
Система мониторинга GreyNoise уже зафиксировала попытки атаковать файерволлы, на которые не установлен патч.
Атаки начались 13 февраля (через сутки после выхода бюллетеня). Источниками атак стали множество разных IP-адресов: скорее всего, атаковать уязвимые устройства взялись сразу несколько акторов.
Исследователь компании Macnica Ютака Седзияма (Yutaka Sejiyama) сообщил изданию BleepingComputer, что, по его данным, сейчас из Сети доступны не менее 4400 консолей управления PAN-OS.
«Помимо установки патчей необходимо минимизировать доступ к консолям управления, это одно из базовых правил кибербезопасности», - указывает Анастасия Мельникова, директор по информационной безопасности компании SEQ. «Устройства, отвечающие за защиту сети, не должны сами быть уязвимы из-за некорректных настроек».
Эксперт добавила, что 4400 общедоступных консолей - сравнительно невысокое число, но каждый скомпрометированный файерволл - это серьезная головная боль для всей организации, сеть которой он защищает.
Поделиться
Короткая ссылка
