Siemens sollecita le organizzazioni che utilizzano i suoi dispositivi Ruggedcom APE1808 configurati con NGFW virtuale di Palo Alto Networks (PAN) a implementare soluzioni alternative per un bug zero-day di massima gravità che PAN ha recentemente rivelato nel suo prodotto firewall di nuova generazione.
La vulnerabilità di command injection, identificata come CVE-2024-3400, influisce su più versioni di firewall PAN-OS quando su di essi sono abilitate determinate funzionalità. Un utente malintenzionato ha sfruttato la falla per implementare una nuova backdoor Python sui firewall interessati.
Sfruttato attivamente
La PAN ha corretto il difetto dopo che i ricercatori di Volexity hanno scoperto la vulnerabilità e l'hanno segnalata al fornitore di sicurezza all'inizio di questo mese. La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto CVE-2024-3400 al suo catalogo di vulnerabilità sfruttate note in seguito alle segnalazioni di più gruppi che attaccano la falla.
La stessa Palo Alto Networks ha affermato di sì consapevoli del crescente numero di attacchi sfruttando CVE-2024-3400 e ha messo in guardia riguardo alla disponibilità pubblica del codice proof-of-concept per il difetto.
Secondo Siemens, il suo prodotto Ruggedcom APE1808, comunemente utilizzato come dispositivi edge in ambienti di controllo industriale, è vulnerabili al problema. Siemens ha descritto tutte le versioni del prodotto con PAN Virtual NGFW configurato con il gateway GlobalProtect o il portale GlobalProtect – o entrambi – come interessate dalla vulnerabilità.
In un avviso, Siemens ha affermato che sta lavorando sugli aggiornamenti per il bug e ha raccomandato contromisure specifiche che i clienti dovrebbero adottare nel frattempo per mitigare il rischio. Le misure includono l’utilizzo di ID di minaccia specifici rilasciati dalla PAN per bloccare gli attacchi mirati alla vulnerabilità. L'avviso di Siemens ha sottolineato la raccomandazione del PAN di disabilitare il gateway GlobalProtect e il portale GlobalProtect e ha ricordato ai clienti che le funzionalità sono già disabilitate per impostazione predefinita negli ambienti di distribuzione Ruggedcom APE1808.
Inizialmente PAN ha anche raccomandato alle organizzazioni di disabilitare la telemetria dei dispositivi per proteggersi dagli attacchi mirati alla falla. Il fornitore di sicurezza ha successivamente ritirato tale consiglio, citando l'inefficacia. "Non è necessario abilitare la telemetria del dispositivo affinché i firewall PAN-OS siano esposti ad attacchi relativi a questa vulnerabilità", ha osservato la società.
Siemens ha esortato i clienti, come regola generale, a proteggere l'accesso alla rete ai dispositivi negli ambienti di controllo industriale con meccanismi adeguati, affermando: "Per utilizzare i dispositivi in un ambiente IT protetto, Siemens consiglia di configurare l'ambiente secondo le linee guida operative di Siemens per la Sicurezza Industriale”.
La Shadowserver Foundation, che monitora Internet per il traffico correlato alle minacce, identificato circa 5,850 casi vulnerabili del NGFW del PAN esposto e accessibile su Internet a partire dal 22 aprile. Circa 2,360 dei casi vulnerabili sembrano essere localizzati in Nord America; L'Asia rappresenta il secondo numero più alto con circa 1,800 casi esposti.
I dispositivi esposti a Internet continuano a rappresentare un rischio critico per ICS/OT
Non è chiaro quanti di questi casi esposti si trovino in contesti di sistemi di controllo industriale (ICS) e di tecnologia operativa (OT). Ma in generale, l’esposizione a Internet continua a rappresentare un grosso problema negli ambienti ICS e OT. UN nuova indagine di Forestcout ha scoperto quasi 110,000 sistemi ICS e OT connessi a Internet in tutto il mondo. Gli Stati Uniti sono in testa, rappresentando il 27% dei casi esposti. Tuttavia, quel numero era significativamente inferiore rispetto a qualche anno fa. Al contrario, Forescout ha riscontrato un forte aumento del numero di apparecchiature ICS/OT esposte a Internet in altri paesi, tra cui Spagna, Italia, Francia, Germania e Russia.
“Gli aggressori opportunisti abusano sempre più di questa esposizione su vasta scala, a volte con una logica di targeting molto permissiva guidata da tendenze, come eventi attuali, comportamenti imitativi o emergenze riscontrate in nuove funzionalità standardizzate o guide di hacking”, ha affermato Forescout. . Il fornitore di sicurezza ha valutato che l’esposizione aveva a che fare, almeno in parte, con gli integratori di sistemi che consegnavano pacchetti con componenti che espongono inavvertitamente i sistemi ICS e OT a Internet. “Con ogni probabilità”, ha affermato Forescout, “la maggior parte dei proprietari di asset non è a conoscenza di queste unità preconfezionate che contengono dispositivi OT esposti”.
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- PlatoData.Network Generativo verticale Ai. Potenzia te stesso. Accedi qui.
- PlatoAiStream. Intelligenza Web3. Conoscenza amplificata. Accedi qui.
- PlatoneESG. Carbonio, Tecnologia pulita, Energia, Ambiente, Solare, Gestione dei rifiuti. Accedi qui.
- Platone Salute. Intelligence sulle biotecnologie e sulle sperimentazioni cliniche. Accedi qui.
- Fonte: https://www.darkreading.com/ics-ot-security/siemens-working-on-fix-for-device-affected-by-palo-alto-firewall-bug
