Siemens dringt er bij organisaties die hun Ruggedcom APE1808-apparaten gebruiken die zijn geconfigureerd met Palo Alto Networks (PAN) Virtual NGFW op aan om oplossingen te implementeren voor een zero-day bug met maximale ernst die PAN onlangs heeft onthuld in zijn next-gen firewall-product.
De kwetsbaarheid voor opdrachtinjectie, geïdentificeerd als CVE-2024-3400, heeft invloed op meerdere versies van PAN-OS-firewalls wanneer bepaalde functies daarop zijn ingeschakeld. Een aanvaller heeft de fout misbruikt om een nieuwe Python-backdoor op getroffen firewalls te implementeren.
Actief uitgebuit
PAN heeft de fout hersteld nadat onderzoekers van Volexity de kwetsbaarheid ontdekten en deze eerder deze maand aan de beveiligingsleverancier rapporteerden. De Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA) heeft CVE-2024-3400 toegevoegd aan zijn catalogus van bekende misbruikte kwetsbaarheden na rapporten van meerdere groepen die de fout hebben aangevallen.
Palo Alto Networks zelf heeft gezegd van wel zich bewust van een groeiend aantal aanvallen gebruik te maken van CVE-2024-3400 en heeft gewaarschuwd dat proof-of-concept-code voor de fout publiekelijk beschikbaar zal zijn.
Volgens Siemens is het Ruggedcom APE1808-product, dat gewoonlijk wordt ingezet als edge-apparaten in industriële besturingsomgevingen, dat wel kwetsbaar voor de kwestie. Siemens beschreef alle versies van het product met PAN Virtual NGFW geconfigureerd met de GlobalProtect-gateway of GlobalProtect-portal (of beide) als getroffen door het beveiligingslek.
In een advies zei Siemens dat het aan updates voor de bug werkt en adviseerde het specifieke tegenmaatregelen die klanten in de tussentijd moeten nemen om de risico's te beperken. De maatregelen omvatten onder meer het gebruik van specifieke bedreigings-ID's die PAN heeft vrijgegeven om aanvallen op de kwetsbaarheid te blokkeren. Het advies van Siemens wees op de aanbeveling van PAN om de GlobalProtect-gateway en GlobalProtect-portal uit te schakelen, en herinnerde klanten eraan dat de functies al standaard zijn uitgeschakeld in Ruggedcom APE1808-implementatieomgevingen.
PAN adviseerde organisaties aanvankelijk ook om apparaattelemetrie uit te schakelen om zich te beschermen tegen aanvallen gericht op de fout. De beveiligingsleverancier trok dat advies later in, onder verwijzing naar ineffectiviteit. “Apparatelemetrie hoeft niet te worden ingeschakeld om PAN-OS-firewalls te kunnen blootstellen aan aanvallen die verband houden met dit beveiligingslek”, aldus het bedrijf.
Siemens drong er bij klanten als algemene regel op aan om de netwerktoegang tot apparaten in industriële besturingsomgevingen met de juiste mechanismen te beschermen, door te zeggen: “Om de apparaten in een beschermde IT-omgeving te kunnen gebruiken, raadt Siemens aan om de omgeving te configureren volgens de operationele richtlijnen van Siemens. voor industriële veiligheid.”
De Shadowserver Foundation, die het internet controleert op bedreigingsgerelateerd verkeer, identificeerde ongeveer 5,850 kwetsbare gevallen van PAN's NGFW zichtbaar en toegankelijk via internet vanaf 22 april. Ongeveer 2,360 van de kwetsbare exemplaren lijken zich in Noord-Amerika te bevinden; Azië was verantwoordelijk voor het op een na hoogste aantal met ongeveer 1,800 blootgestelde gevallen.
Apparaten die blootgesteld zijn aan internet blijven een cruciaal risico voor ICS/OT
Het is onduidelijk hoeveel van deze blootgestelde exemplaren zich in industriële controlesystemen (ICS) en operationele technologie (OT) bevinden. Maar over het algemeen blijft internetblootstelling een groot probleem in ICS- en OT-omgevingen. A nieuw onderzoek door Forescout heeft wereldwijd bijna 110,000 internetgerichte ICS- en OT-systemen blootgelegd. De VS liepen voorop, goed voor 27% van de blootgestelde gevallen. Dat aantal was echter aanzienlijk lager dan een paar jaar geleden. Forescout constateerde daarentegen een scherpe toename van het aantal aan internet blootgestelde ICS/OT-apparatuur in andere landen, waaronder Spanje, Italië, Frankrijk, Duitsland en Rusland.
“Opportunistische aanvallers maken steeds vaker misbruik van deze blootstelling op grote schaal – soms met een zeer lakse targeting-grondgedachte, gedreven door trends, zoals actuele gebeurtenissen, copycat-gedrag of de noodsituaties die te vinden zijn in nieuwe, kant-en-klare mogelijkheden of hackgidsen”, aldus Forescout. . De beveiligingsleverancier oordeelde dat de blootstelling op zijn minst gedeeltelijk te maken had met het feit dat systeemintegrators verpakte bundels leverden met componenten daarin die onbedoeld ICS- en OT-systemen blootstellen aan internet. “Naar alle waarschijnlijkheid,” zei Forescout, “zijn de meeste eigenaren van activa zich er niet van bewust dat deze verpakte eenheden blootgestelde OT-apparaten bevatten.”
- Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
- PlatoData.Network Verticale generatieve AI. Versterk jezelf. Toegang hier.
- PlatoAiStream. Web3-intelligentie. Kennis versterkt. Toegang hier.
- PlatoESG. carbon, CleanTech, Energie, Milieu, Zonne, Afvalbeheer. Toegang hier.
- Plato Gezondheid. Intelligentie op het gebied van biotech en klinische proeven. Toegang hier.
- Bron: https://www.darkreading.com/ics-ot-security/siemens-working-on-fix-for-device-affected-by-palo-alto-firewall-bug
