Siemens îndeamnă organizațiile care folosesc dispozitivele sale Ruggedcom APE1808 configurate cu Palo Alto Networks (PAN) Virtual NGFW să implementeze soluții pentru o eroare de severitate maximă zero-day pe care PAN a dezvăluit recent în produsul său firewall de nouă generație.
Vulnerabilitatea injectării comenzii, identificată ca CVE-2024-3400, afectează mai multe versiuni de firewall-uri PAN-OS atunci când anumite funcții sunt activate pe acestea. Un atacator a exploatat defectul pentru a implementa un nou backdoor Python pe firewall-urile afectate.
Exploatat activ
PAN a remediat defectul după ce cercetătorii de la Volexity au descoperit vulnerabilitatea și au raportat-o furnizorului de securitate la începutul acestei luni. Agenția SUA pentru Securitate Cibernetică și Infrastructură (CISA) a adăugat CVE-2024-3400 în catalogul său de vulnerabilități exploatate cunoscute în urma rapoartelor despre mai multe grupuri care atacau defectul.
Însuși Palo Alto Networks a spus că este conștient de un număr tot mai mare de atacuri utilizând CVE-2024-3400 și a avertizat că codul de dovadă a conceptului pentru defecțiune este disponibil public.
Potrivit Siemens, produsul său Ruggedcom APE1808 – implementat în mod obișnuit ca dispozitive de vârf în medii de control industrial – este vulnerabil la problema. Siemens a descris toate versiunile produsului cu PAN Virtual NGFW configurat cu gateway-ul GlobalProtect sau portalul GlobalProtect – sau ambele – ca fiind afectate de vulnerabilitate.
Într-un aviz, Siemens a spus că lucrează la actualizări pentru eroare și a recomandat contramăsuri specifice pe care clienții ar trebui să le ia între timp pentru a reduce riscul. Măsurile includ utilizarea unor ID-uri de amenințări specifice pe care PAN le-a lansat pentru a bloca atacurile care vizează vulnerabilitatea. Avizul Siemens a subliniat recomandarea PAN de a dezactiva gateway-ul GlobalProtect și portalul GlobalProtect și le-a reamintit clienților că funcțiile sunt deja dezactivate implicit în mediile de implementare Ruggedcom APE1808.
PAN a recomandat inițial, de asemenea, organizațiilor să dezactiveze telemetria dispozitivului pentru a se proteja împotriva atacurilor care vizează defectul. Furnizorul de securitate a retras ulterior acel sfat, invocând ineficacitate. „Telemetria dispozitivului nu trebuie să fie activată pentru ca firewall-urile PAN-OS să fie expuse la atacuri legate de această vulnerabilitate”, a menționat compania.
Siemens a îndemnat clienții, ca regulă generală, să protejeze accesul la rețea la dispozitivele din mediile de control industrial cu mecanisme adecvate, spunând: „Pentru a opera dispozitivele într-un mediu IT protejat, Siemens recomandă configurarea mediului conform ghidurilor operaționale ale Siemens. pentru Securitate Industrială.”
Fundația Shadowserver, care monitorizează Internetul pentru traficul legat de amenințări, au identificat aproximativ 5,850 de cazuri vulnerabile a NGFW al PAN expus și accesibil prin Internet din 22 aprilie. Aproximativ 2,360 dintre cazurile vulnerabile par a fi localizate în America de Nord; Asia a ocupat următorul cel mai mare număr, cu aproximativ 1,800 de cazuri expuse.
Dispozitivele expuse la Internet rămân un risc critic pentru ICS/OT
Nu este clar câte dintre aceste instanțe expuse se află în setările sistemului de control industrial (ICS) și ale tehnologiei operaționale (OT). Dar, în general, expunerea la Internet continuă să fie o problemă majoră în mediile ICS și OT. A o nouă anchetă a Forescout a descoperit aproape 110,000 de sisteme ICS și OT cu acces la internet în întreaga lume. SUA au condus drumul, reprezentând 27% din cazurile expuse. Cu toate acestea, acest număr a fost semnificativ mai mic comparativ cu acum câțiva ani. În schimb, Forescout a constatat o creștere bruscă a numărului de echipamente ICS/OT expuse la internet în alte țări, inclusiv Spania, Italia, Franța, Germania și Rusia.
„Atacatorii oportuniști abuzează din ce în ce mai mult de această expunere la scară – uneori cu un raționament de țintire foarte lax, determinat de tendințe, cum ar fi evenimentele actuale, comportamentul imitator sau urgențele găsite în capabilități noi, disponibile sau ghiduri de hacking”, a spus Forescout. . Furnizorul de securitate a evaluat că expunerea a trebuit să aibă de-a face cel puțin parțial cu integratorii de sisteme care furnizează pachete ambalate cu componente care expun din neatenție sistemele ICS și OT la Internet. „În orice probabilitate”, a spus Forescout, „majoritatea proprietarilor de active nu știu că aceste unități ambalate conțin dispozitive OT expuse”.
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- PlatoData.Network Vertical Generative Ai. Împuterniciți-vă. Accesați Aici.
- PlatoAiStream. Web3 Intelligence. Cunoștințe amplificate. Accesați Aici.
- PlatoESG. carbon, CleanTech, Energie, Mediu inconjurator, Solar, Managementul deșeurilor. Accesați Aici.
- PlatoHealth. Biotehnologie și Inteligență pentru studii clinice. Accesați Aici.
- Sursa: https://www.darkreading.com/ics-ot-security/siemens-working-on-fix-for-device-affected-by-palo-alto-firewall-bug
