Palo Alto Networks (PAN) 14 এপ্রিল তার PAN-OS সফ্টওয়্যারের একাধিক সংস্করণে সর্বাধিক তীব্রতার শূন্য-দিনের বাগ মোকাবেলার জন্য হটফিক্স প্রকাশ করেছে যা একজন হুমকি অভিনেতা প্রভাবিত ফায়ারওয়ালগুলিতে একটি উপন্যাস পাইথন ব্যাকডোর স্থাপন করতে ব্যবহার করছেন৷

ত্রুটি - হিসাবে ট্র্যাক জন্য CVE-2024-3400 — PAN-OS 10.2, 11.0, এবং 11.1 ফায়ারওয়ালে উপস্থিত থাকে যখন GlobalProtect গেটওয়ে এবং ডিভাইস টেলিমেট্রি বৈশিষ্ট্য উভয়ই সক্রিয় থাকে। PAN 12 এপ্রিল ত্রুটি প্রকাশ করার পরে গবেষকরা ভলেক্সিটি বাগ খুঁজে পেয়েছে গ্রাহকের ফায়ারওয়ালে সন্দেহজনক কার্যকলাপ তদন্ত করার সময়।  

সীমিত আক্রমণ

PAN এই ত্রুটিকে লক্ষ্য করে আক্রমণগুলিকে ভলিউমের সীমিত হিসাবে বর্ণনা করেছে এবং আক্রমণ কার্যকলাপকে একটি একক হুমকি ক্লাস্টারের জন্য দায়ী করেছে যা কোম্পানি "অপারেশন মিডনাইট ইক্লিপস" হিসাবে ট্র্যাক করছে৷ যাইহোক, বিক্রেতা অন্যান্য আক্রমণকারীদের ত্রুটিটিও কাজে লাগানোর সম্ভাবনা উড়িয়ে দেননি।   

কখন PAN ত্রুটিটি প্রকাশ করেছে গত সপ্তাহে, এটি অস্থায়ী ব্যবস্থার সুপারিশ করেছে যা গ্রাহকরা হুমকি প্রশমিত করতে পারে — ডিভাইস টেলিমেট্রি অক্ষম করা সহ। 14 এপ্রিল, কোম্পানি PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 এবং পরবর্তী সমস্ত PAN-OS সংস্করণগুলির হটফিক্স রিলিজগুলি উপলব্ধ করেছে৷ নিরাপত্তা বিক্রেতা গ্রাহকদের আপডেটগুলি প্রয়োগ করার জন্য অনুরোধ করেছে এবং অনুরূপ হটফিক্সের প্রতিশ্রুতি দিয়েছে অন্যান্য রক্ষণাবেক্ষণ রিলিজ সফটওয়্যার এর।

একটি প্যাচ উপলব্ধ হওয়ার আগেই আক্রমণকারীদের লক্ষ্যবস্তু করার রিপোর্টগুলি গত সপ্তাহে ইউএস সাইবারসিকিউরিটি অ্যান্ড ইনফ্রাস্ট্রাকচার এজেন্সি (সিআইএসএ) কে দ্রুত তার ক্যাটালগে CVE-2024-3400 যোগ করার জন্য অনুরোধ করেছিল। পরিচিত শোষিত দুর্বলতা. সমস্ত বেসামরিক ফেডারেল এজেন্সিগুলির ত্রুটি সমাধানের জন্য 19 এপ্রিল পর্যন্ত সময় আছে। CISA আছে পূর্বে সতর্ক করা সংস্থা একাধিক অনুষ্ঠানে ভিপিএন এবং পালস সিকিউর, সিসকো এবং প্যানের মতো বিক্রেতাদের থেকে অন্যান্য দূরবর্তী অ্যাক্সেস প্রযুক্তিতে উচ্চ হুমকি-অভিনেতার আগ্রহ সম্পর্কে কারণ এই ডিভাইসগুলি এন্টারপ্রাইজ নেটওয়ার্ক এবং ডেটা সরবরাহ করে।

সর্বোচ্চ তীব্রতা কমান্ড ইনজেকশন ত্রুটি

গত সপ্তাহে একটি ব্লগ পোস্টে, ভলেক্সিটি প্যান-ওএস গ্লোবালপ্রোটেক্টে কমান্ড ইনজেকশন দুর্বলতা হিসাবে আবিষ্কৃত ত্রুটি বর্ণনা করেছে যা অননুমোদিত দূরবর্তী আক্রমণকারীদের প্রভাবিত সিস্টেমে নির্বিচারে কোড চালানোর একটি উপায় দিয়েছে। নিরাপত্তা বিক্রেতা বলেছেন যে এটি একটি আক্রমণকারীকে পর্যবেক্ষণ করেছে - যা এটি UTA0218 হিসাবে ট্র্যাক করছে - একটি বিপরীত শেল তৈরি করতে এবং আপোসকৃত সিস্টেমে অতিরিক্ত ম্যালওয়্যার ডাউনলোড করতে ত্রুটিটি ব্যবহার করে।

"আক্রমণকারী ডিভাইসগুলি থেকে কনফিগারেশন ডেটা রপ্তানি করার দিকে মনোনিবেশ করেছিল এবং তারপরে শিকার সংস্থাগুলির মধ্যে পার্শ্বীয়ভাবে সরানোর জন্য এটিকে একটি এন্ট্রি পয়েন্ট হিসাবে ব্যবহার করেছিল," ভলেক্সিটি বলেছিল।

আপোসকৃত সিস্টেমে হুমকি অভিনেতা মোতায়েন করা অতিরিক্ত সরঞ্জামগুলির মধ্যে একটি ছিল একটি উপন্যাস পাইথন ব্যাকডোর যা ভলেক্সিটি আপস্টাইল নাম দিয়েছে। নিরাপত্তা বিক্রেতা বলেছেন যে এটি হুমকি অভিনেতাকে আপস্টাইল ব্যাকডোর ব্যবহার করে একটি টার্গেট নেটওয়ার্কের মধ্যে পার্শ্বীয় চলাচলের জন্য এবং এটি থেকে শংসাপত্র এবং অন্যান্য সংবেদনশীল ডেটা চুরি করার জন্য বিভিন্ন অতিরিক্ত কমান্ড কার্যকর করার জন্য খুঁজে পেয়েছে।

"আক্রমণকারীর দ্বারা নিযুক্ত ট্রেডক্রাফ্ট এবং গতি একজন অত্যন্ত সক্ষম হুমকি অভিনেতাকে তাদের উদ্দেশ্যগুলিকে আরও এগিয়ে নিতে কী অ্যাক্সেস করতে হবে তার একটি স্পষ্ট প্লেবুকের সাথে পরামর্শ দেয়," ভলেক্সিটি সতর্ক করেছিল। ভলেক্সিটি বলেছে যে এটি শোষণ কার্যকলাপের সঠিক স্কেল নির্ধারণ করতে সক্ষম হয়নি তবে অনুমান করেছে যে এটি সম্ভবত সীমিত এবং লক্ষ্যবস্তু ছিল। সংস্থাটি বলেছে যে এটি 0218 মার্চ এবং 26 মার্চ একাধিক সংস্থায় UTA27 দুর্বলতাকে কাজে লাগানোর চেষ্টা করার প্রমাণ পেয়েছে।

PAN বলেছে যে তার বিশ্লেষণে দেখা গেছে যে হুমকি অভিনেতা ব্যাকডোর ব্যবহার করে দুর্বল ফায়ারওয়ালগুলিতে মুষ্টিমেয় কমান্ড চালাচ্ছেন। কমান্ডগুলির মধ্যে একটি কনফিগারেশন ফাইলগুলি অনুলিপি করা এবং HTTP অনুরোধের মাধ্যমে সেগুলিকে বহিষ্কার করার জন্য এবং অন্যটি যা ফায়ারওয়ালকে আরও বেশি কমান্ড পাওয়ার জন্য সেট আপ করে, এবার একটি ভিন্ন URL থেকে। "অবশেষে, হুমকি অভিনেতা পিছনের দরজার সাথে যুক্ত সমস্ত ফাইল মুছে ফেলে এবং তাদের ক্রোনজবগুলি সাফ করে নিজেরাই পরিষ্কার করেছিলেন," প্যান বলেছিল।

সম্পূর্ণ নিয়ন্ত্রণ

ট্রাস্টওয়েভের স্পাইডারল্যাবসের সিনিয়র সিকিউরিটি রিসার্চ ম্যানেজার কার্ল সিগলার বলেছেন, CVE-2024-3400 ব্যবহার করলে আক্রমণকারীকে প্যান ডিভাইসের উপর সম্পূর্ণ নিয়ন্ত্রণ দেওয়া হবে। "এটি আক্রমণকারীকে সংগঠনে আরও পিভট করার জন্য একটি পা রাখার অনুমতি দিতে পারে," তিনি বলেছেন। "এটি আক্রমণকারীকে অ্যাক্সেস নিয়ন্ত্রণ তালিকা এবং ভিপিএন সংযোগগুলি অক্ষম করা সহ ডিভাইস দ্বারা প্রদত্ত সুরক্ষাগুলি অক্ষম করার অনুমতি দিতে পারে।"

সিগলার বলেছেন যে এই ক্ষেত্রে দুর্বলতা শোষণ একটি ত্রুটির লগে OS কমান্ড লগ করার জন্য একটি প্রভাবিত ডিভাইস পেয়ে কাজ করে। এই কমান্ডগুলি তারপরে প্রক্রিয়া করা হয় এবং রুট-স্তরের অনুমতিগুলির সাথে কার্যকর করা হয়, তিনি বলেছেন। "ডিভাইস টেলিমেট্রি নিষ্ক্রিয় করা লগ ফাইলটিকে নিষ্ক্রিয় করে, আক্রমণটিকে শর্ট-সার্কিট করে," সিগলার নোট করে৷ "এটি করার প্রধান ঝুঁকি হল যে নেটওয়ার্ক অ্যাডমিনরা প্রায়শই ডিভাইসের সমস্যা সমাধানের জন্য এই টেলিমেট্রির উপর নির্ভর করে। উপরন্তু, অস্বাভাবিক নেটওয়ার্ক আচরণের জন্য পর্যবেক্ষণ একটি চলমান আক্রমণের প্রমাণ হতে পারে। টেলিমেট্রি নিষ্ক্রিয় করা সেই প্রচেষ্টাগুলিকে বাধাগ্রস্ত করতে পারে।"

পালো অল্টো নিজেই সুপারিশ করেছে যে যে সংস্থাগুলি কোনও কারণে তাদের সফ্টওয়্যার অবিলম্বে আপডেট করতে অক্ষম তাদের ডিভাইস টেলিমেট্রি অক্ষম করা উচিত যতক্ষণ না তারা আপডেট করতে সক্ষম হয়। কোম্পানির মতে, "একবার আপগ্রেড করা হলে, ডিভাইসে টেলিমেট্রি পুনরায় সক্রিয় করা উচিত।"

• এসইও চালিত বিষয়বস্তু এবং পিআর বিতরণ। আজই পরিবর্ধিত পান।
• PlatoData.Network উল্লম্ব জেনারেটিভ Ai. নিজেকে ক্ষমতায়িত করুন। এখানে প্রবেশ করুন.
• প্লেটোএআইস্ট্রিম। Web3 ইন্টেলিজেন্স। জ্ঞান প্রসারিত. এখানে প্রবেশ করুন.
• প্লেটোইএসজি। কার্বন, ক্লিনটেক, শক্তি, পরিবেশ সৌর, বর্জ্য ব্যবস্থাপনা. এখানে প্রবেশ করুন.
• প্লেটো হেলথ। বায়োটেক এবং ক্লিনিক্যাল ট্রায়াল ইন্টেলিজেন্স। এখানে প্রবেশ করুন.
• উত্স: https://www.darkreading.com/cyberattacks-data-breaches/palo-alto-network-issues-hot-fixes-for-zero-day-bug-in-its-firewall-os