Siemens는 Palo Alto Networks(PAN) Virtual NGFW로 구성된 Ruggedcom APE1808 장치를 사용하는 조직에 PAN이 최근 차세대 방화벽 제품에서 공개한 최대 심각도 제로데이 버그에 대한 해결 방법을 구현할 것을 촉구했습니다.

다음으로 식별되는 명령 주입 취약점 CVE-2024-3400, 특정 기능이 활성화되면 여러 버전의 PAN-OS 방화벽에 영향을 미칩니다. 공격자는 이 결함을 악용하여 영향을 받는 방화벽에 새로운 Python 백도어를 배포해 왔습니다.

적극적으로 악용

PAN이 결함을 패치했습니다. Volexity의 연구원들이 이 취약점을 발견하고 이달 초 보안 공급업체에 보고한 이후입니다. 미국 사이버 보안 및 인프라 보안국(CISA)은 여러 그룹이 이 결함을 공격했다는 보고에 따라 알려진 악용 취약점 목록에 CVE-2024-3400을 추가했습니다.

Palo Alto Networks 자체는 다음과 같이 말했습니다. 점점 더 많은 공격이 발생하고 있음을 알고 있습니다. CVE-2024-3400을 활용하여 결함에 대한 개념 증명 코드가 공개적으로 제공될 것이라고 경고했습니다.

Siemens에 따르면 일반적으로 산업 제어 환경에서 엣지 장치로 배포되는 Ruggedcom APE1808 제품은 다음과 같습니다. 문제에 취약함. Siemens는 GlobalProtect 게이트웨이나 GlobalProtect 포털(또는 둘 다)로 구성된 PAN Virtual NGFW가 포함된 모든 버전의 제품이 취약점의 영향을 받는 것으로 설명했습니다.

자문을 통해 지멘스는 버그에 대한 업데이트를 진행 중이며 위험을 완화하기 위해 고객이 취해야 할 구체적인 대책을 권고했다고 밝혔습니다. 이러한 조치에는 취약점을 표적으로 삼는 공격을 차단하기 위해 PAN이 공개한 특정 위협 ID를 사용하는 것이 포함됩니다. Siemens의 권고는 GlobalProtect 게이트웨이 및 GlobalProtect 포털을 비활성화하라는 PAN의 권장 사항을 지적하고 Ruggedcom APE1808 배포 환경에서는 해당 기능이 기본적으로 이미 비활성화되어 있음을 고객에게 상기시켰습니다.

또한 PAN은 처음에 조직이 결함을 표적으로 삼는 공격으로부터 보호하기 위해 장치 원격 측정을 비활성화할 것을 권장했습니다. 보안 공급업체는 나중에 비효율적이라는 이유로 해당 조언을 ​​철회했습니다. “이 취약점과 관련된 공격에 노출되기 위해 PAN-OS 방화벽에 대해 장치 원격 측정을 활성화할 필요는 없습니다.”라고 회사는 밝혔습니다.

지멘스는 원칙적으로 산업 제어 환경에서 장치에 대한 네트워크 접근을 적절한 메커니즘으로 보호할 것을 고객에게 당부했다. “보호된 IT 환경에서 장치를 작동하려면 지멘스의 운영 지침에 따라 환경을 구성하는 것이 좋다. 산업 보안을 위해.”

인터넷에서 위협 관련 트래픽을 모니터링하는 Shadowserver Foundation은 약 5,850개의 취약한 인스턴스를 식별했습니다. PAN의 NGFW 중 22월 2,360일 현재 노출되어 인터넷을 통해 액세스할 수 있습니다. 취약한 인스턴스 중 약 1,800개는 북미에 있는 것으로 보입니다. 아시아는 약 XNUMX개의 노출된 인스턴스로 다음으로 높은 수치를 차지했습니다.

인터넷에 노출된 장치는 ICS/OT의 심각한 위험으로 남아 있습니다.

노출된 인스턴스 중 얼마나 많은 인스턴스가 산업 제어 시스템(ICS) 및 운영 기술(OT) 설정에 있는지는 확실하지 않습니다. 그러나 일반적으로 인터넷 노출은 ICS 및 OT 환경에서 계속해서 주요 문제가 되고 있습니다. ㅏ Forescout의 새로운 조사 전 세계적으로 약 110,000개의 인터넷 연결 ICS 및 OT 시스템이 발견되었습니다. 미국은 노출된 사례의 27%를 차지하며 선두를 달리고 있습니다. 그러나 그 숫자는 몇 년 전과 비교하면 현저히 감소했습니다. 이와 대조적으로 Forescout는 스페인, 이탈리아, 프랑스, ​​독일, 러시아를 포함한 다른 국가에서는 인터넷에 노출된 ICS/OT 장비의 수가 급격히 증가한 것을 발견했습니다.

Forescout는 "기회주의적 공격자들은 이러한 노출을 대규모로 점점 더 악용하고 있습니다. 때로는 최근 사건, 모방 행위, 새로운 기성 기능이나 해킹 가이드에서 발견되는 긴급 상황과 같은 추세에 따라 매우 느슨한 타겟팅 근거를 사용하기도 합니다"라고 말했습니다. . 보안 공급업체는 노출이 적어도 부분적으로는 ICS 및 OT 시스템을 실수로 인터넷에 노출시키는 구성 요소가 포함된 패키지 번들을 제공하는 시스템 통합업체와 관련이 있다고 평가했습니다. Forescout은 "대부분의 자산 소유자는 이러한 패키지 장치에 노출된 OT 장치가 포함되어 있다는 사실을 모르고 있을 가능성이 높습니다."라고 말했습니다.

• SEO 기반 콘텐츠 및 PR 배포. 오늘 증폭하십시오.
• PlatoData.Network 수직 생성 Ai. 자신에게 권한을 부여하십시오. 여기에서 액세스하십시오.
• PlatoAiStream. 웹3 인텔리전스. 지식 증폭. 여기에서 액세스하십시오.
• 플라톤ESG. 탄소, 클린테크, 에너지, 환경, 태양광, 폐기물 관리. 여기에서 액세스하십시오.
• PlatoHealth. 생명 공학 및 임상 시험 인텔리전스. 여기에서 액세스하십시오.
• 출처: https://www.darkreading.com/ics-ot-security/siemens-working-on-fix-for-device-affected-by-palo-alto-firewall-bug