Siemens opfordrer organisationer, der bruger deres Ruggedcom APE1808-enheder konfigureret med Palo Alto Networks (PAN) Virtual NGFW, til at implementere løsninger til en nul-dages fejl, som PAN for nylig afslørede i sit næste generations firewall-produkt.

Kommandoindsprøjtningssårbarheden, identificeret som CVE-2024-3400, påvirker flere versioner af PAN-OS firewalls, når visse funktioner er aktiveret på dem. En angriber har udnyttet fejlen til at implementere en ny Python-bagdør på berørte firewalls.

Aktivt udnyttet

PAN fiksede fejlen efter at forskere fra Volexity opdagede sårbarheden og rapporterede den til sikkerhedsleverandøren tidligere på måneden. Det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) føjede CVE-2024-3400 til sit katalog over kendte udnyttede sårbarheder efter rapporter om flere grupper, der angreb fejlen.

Palo Alto Networks har selv sagt, at det er det opmærksom på et stigende antal angreb udnytter CVE-2024-3400 og har advaret om, at proof-of-concept-kode for fejlen er offentligt tilgængelig.

Ifølge Siemens er dets Ruggedcom APE1808-produkt - almindeligvis implementeret som edge-enheder i industrielle kontrolmiljøer - sårbare over for problemet. Siemens beskrev alle versioner af produktet med PAN Virtual NGFW konfigureret med GlobalProtect-gatewayen eller GlobalProtect-portalen – eller begge dele – som påvirket af sårbarheden.

I en rådgivning sagde Siemens, at det arbejder på opdateringer til fejlen og anbefalede specifikke modforanstaltninger, som kunderne bør tage i mellemtiden for at mindske risikoen. Foranstaltningerne omfatter brug af specifikke trussels-id'er, som PAN har frigivet til at blokere angreb rettet mod sårbarheden. Siemens' rådgivning pegede på PANs anbefaling om at deaktivere GlobalProtect-gateway og GlobalProtect-portal og mindede kunderne om, at funktionerne allerede er deaktiveret som standard i Ruggedcom APE1808-implementeringsmiljøer.

PAN anbefalede oprindeligt også organisationer at deaktivere enhedstelemetri for at beskytte mod angreb rettet mod fejlen. Sikkerhedsleverandøren trak senere dette råd tilbage med henvisning til ineffektivitet. "Enhedstelemetri behøver ikke at være aktiveret for at PAN-OS firewalls kan blive udsat for angreb relateret til denne sårbarhed," bemærkede virksomheden.

Siemens opfordrede kunder, som en generel regel, til at beskytte netværksadgang til enheder i industrielle kontrolmiljøer med passende mekanismer og sagde: "For at betjene enhederne i et beskyttet it-miljø anbefaler Siemens at konfigurere miljøet i henhold til Siemens' operationelle retningslinjer for industriel sikkerhed."

Shadowserver Foundation, som overvåger internettet for trusselsrelateret trafik, identificeret omkring 5,850 sårbare tilfælde af PAN's NGFW afsløret og tilgængelig over internettet den 22. april. Omkring 2,360 af de sårbare tilfælde ser ud til at være lokaliseret i Nordamerika; Asien stod for det næsthøjeste antal med omkring 1,800 eksponerede tilfælde.

Internet-eksponerede enheder forbliver en kritisk risiko for ICS/OT

Det er uklart, hvor mange af disse eksponerede tilfælde er i industrielle kontrolsystem (ICS) og driftsteknologi (OT) indstillinger. Men generelt er interneteksponering fortsat et stort problem i ICS- og OT-miljøer. EN ny undersøgelse fra Forescout afdækket næsten 110,000 internet-vendte ICS- og OT-systemer på verdensplan. USA førte an og tegnede sig for 27 % af de eksponerede tilfælde. Det tal var dog væsentligt lavere sammenlignet med for få år siden. I modsætning hertil fandt Forescout en kraftig stigning i antallet af internet-eksponeret ICS/OT-udstyr i andre lande, herunder Spanien, Italien, Frankrig, Tyskland og Rusland.

"Opportunistiske angribere misbruger i stigende grad denne eksponering i stor skala - nogle gange med et meget lemfældigt målrettet rationale drevet af trends, såsom aktuelle begivenheder, copycat-adfærd eller de nødsituationer, der findes i nye, off-the-shelf-funktioner eller hacking-guider," sagde Forescout . Sikkerhedsleverandøren vurderede, at eksponeringen i det mindste delvist havde at gøre med systemintegratorer, der leverede pakkede bundter med komponenter i, som utilsigtet eksponerer ICS- og OT-systemer til internettet. "Efter al sandsynlighed," sagde Forescout, "er de fleste aktivejere uvidende om, at disse pakkede enheder indeholder udsatte OT-enheder."

• SEO Powered Content & PR Distribution. Bliv forstærket i dag.
• PlatoData.Network Vertical Generative Ai. Styrk dig selv. Adgang her.
• PlatoAiStream. Web3 intelligens. Viden forstærket. Adgang her.
• PlatoESG. Kulstof, CleanTech, Energi, Miljø, Solenergi, Affaldshåndtering. Adgang her.
• PlatoHealth. Bioteknologiske og kliniske forsøgs intelligens. Adgang her.
• Kilde: https://www.darkreading.com/ics-ot-security/siemens-working-on-fix-for-device-affected-by-palo-alto-firewall-bug