เมื่อวันที่ 14 เมษายน Palo Alto Networks (PAN) ได้เปิดตัวโปรแกรมแก้ไขด่วนเพื่อแก้ไขจุดบกพร่องแบบ Zero-day ที่มีความรุนแรงสูงสุดในซอฟต์แวร์ PAN-OS หลายเวอร์ชันที่ผู้คุกคามใช้ในการปรับใช้แบ็คดอร์ Python ใหม่บนไฟร์วอลล์ที่ได้รับผลกระทบ

ข้อบกพร่อง — ติดตามเป็น CVE-2024-3400 — มีอยู่ในไฟร์วอลล์ PAN-OS 10.2, 11.0 และ 11.1 เมื่อเปิดใช้งานคุณสมบัติ GlobalProtect Gateway และการวัดและส่งข้อมูลทางไกลของอุปกรณ์ PAN เปิดเผยข้อบกพร่องเมื่อวันที่ 12 เมษายน หลังจากที่นักวิจัยที่ Volexity พบจุดบกพร่อง เมื่อตรวจสอบกิจกรรมที่น่าสงสัยบนไฟร์วอลล์ของลูกค้า  

การโจมตีที่จำกัด

PAN อธิบายการโจมตีที่กำหนดเป้าหมายข้อบกพร่องว่ามีปริมาณจำกัด และระบุกิจกรรมการโจมตีว่าเป็นคลัสเตอร์ภัยคุกคามเดียวที่บริษัทกำลังติดตามว่าเป็น “Operation Midnight Eclipse” อย่างไรก็ตาม ผู้จำหน่ายไม่ได้ตัดทอนโอกาสที่ผู้โจมตีรายอื่นจะใช้ประโยชน์จากข้อบกพร่องนี้เช่นกัน   

เมื่อ PAN เปิดเผยข้อบกพร่อง เมื่อสัปดาห์ที่แล้ว ได้มีการแนะนำมาตรการชั่วคราวที่ลูกค้าสามารถใช้เพื่อบรรเทาภัยคุกคาม รวมถึงการปิดใช้งานการวัดและส่งข้อมูลทางไกลของอุปกรณ์ เมื่อวันที่ 14 เมษายน บริษัทได้เผยแพร่โปรแกรมแก้ไขด่วนสำหรับ PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1, PAN-OS 11.1.2-h3 และเวอร์ชัน PAN-OS ที่ใหม่กว่าทั้งหมด ผู้จำหน่ายระบบรักษาความปลอดภัยแนะนำให้ลูกค้าใช้การอัปเดตและสัญญาว่าจะมีโปรแกรมแก้ไขด่วนที่คล้ายกัน รุ่นการบำรุงรักษาอื่น ๆ ของซอฟต์แวร์

รายงานของผู้โจมตีที่กำหนดเป้าหมายไปที่ข้อบกพร่องก่อนที่แพตช์จะพร้อมใช้งาน กระตุ้นให้หน่วยงานรักษาความปลอดภัยทางไซเบอร์และโครงสร้างพื้นฐานของสหรัฐอเมริกา (CISA) เมื่อสัปดาห์ที่แล้วเพิ่ม CVE-2024-3400 ลงในแค็ตตาล็อกของ รู้จักช่องโหว่ช่องโหว่- หน่วยงานรัฐบาลกลางพลเรือนทั้งหมดมีเวลาจนถึงวันที่ 19 เมษายนในการแก้ไขข้อบกพร่องดังกล่าว CISA ก็มี องค์กรที่เคยเตือนไว้แล้ว หลายครั้งเกี่ยวกับความสนใจของผู้คุกคามใน VPN และเทคโนโลยีการเข้าถึงระยะไกลอื่นๆ จากผู้ขายเช่น Pulse Secure, Cisco และ PAN เนื่องจากการเข้าถึงสิทธิพิเศษที่อุปกรณ์เหล่านี้มอบให้กับเครือข่ายและข้อมูลขององค์กร

ข้อบกพร่องการฉีดคำสั่งความรุนแรงสูงสุด

ในบล็อกโพสต์เมื่อสัปดาห์ที่แล้ว Volexity อธิบายถึงข้อบกพร่องที่ค้นพบว่าเป็นช่องโหว่ของการแทรกคำสั่งใน PAN-OS GlobalProtect ซึ่งทำให้ผู้โจมตีระยะไกลที่ไม่ได้รับการรับรองความถูกต้องมีวิธีในการรันโค้ดโดยอำเภอใจบนระบบที่ได้รับผลกระทบ ผู้จำหน่ายระบบรักษาความปลอดภัยกล่าวว่าได้สังเกตเห็นผู้โจมตีซึ่งติดตามอยู่ในชื่อ UTA0218 โดยใช้ประโยชน์จากข้อบกพร่องเพื่อสร้าง Reverse Shell และดาวน์โหลดมัลแวร์เพิ่มเติมบนระบบที่ถูกบุกรุก

“ผู้โจมตีมุ่งเน้นไปที่การส่งออกข้อมูลการกำหนดค่าจากอุปกรณ์ จากนั้นใช้ประโยชน์จากข้อมูลดังกล่าวเป็นจุดเริ่มต้นในการย้ายด้านข้างภายในองค์กรของเหยื่อ” Volexity กล่าว

หนึ่งในเครื่องมือเพิ่มเติมที่ผู้คุกคามนำไปใช้กับระบบที่ถูกบุกรุกคือแบ็คดอร์ Python ตัวใหม่ที่ Volexity ตั้งชื่อว่า Upstyle ผู้จำหน่ายระบบรักษาความปลอดภัยกล่าวว่าพบผู้คุกคามที่ใช้แบ็คดอร์ Upstyle เพื่อดำเนินการคำสั่งเพิ่มเติมที่หลากหลาย รวมถึงคำสั่งสำหรับการเคลื่อนไหวด้านข้างภายในเครือข่ายเป้าหมาย และเพื่อขโมยข้อมูลประจำตัวและข้อมูลละเอียดอ่อนอื่น ๆ จากมัน

“ทักษะทางการค้าและความเร็วที่ผู้โจมตีใช้นั้น บ่งบอกถึงตัวแสดงภัยคุกคามที่มีความสามารถสูง พร้อมด้วย Playbook ที่ชัดเจนว่าจะต้องเข้าถึงอะไรเพื่อวัตถุประสงค์เพิ่มเติม” Volexity เตือน Volexity กล่าวว่า ไม่สามารถระบุขนาดที่แน่นอนของกิจกรรมการหาประโยชน์ได้ แต่คาดว่าน่าจะจำกัดและกำหนดเป้าหมายไว้ บริษัทกล่าวว่าได้พบหลักฐานของ UTA0218 ที่พยายามใช้ประโยชน์จากช่องโหว่นี้ในหลายองค์กรในวันที่ 26 มีนาคม และ 27 มีนาคม

PAN กล่าวว่าการวิเคราะห์แสดงให้เห็นว่าผู้คุกคามใช้ประตูหลังเพื่อรันคำสั่งจำนวนหนึ่งบนไฟร์วอลล์ที่มีช่องโหว่ คำสั่งดังกล่าวประกอบด้วยคำสั่งหนึ่งสำหรับการคัดลอกไฟล์การกำหนดค่าและกรองไฟล์เหล่านั้นผ่านทางคำขอ HTTP และอีกคำสั่งหนึ่งที่ตั้งค่าไฟร์วอลล์ให้รับคำสั่งเพิ่มเติม คราวนี้มาจาก URL อื่น “สุดท้ายแล้ว ผู้คุกคามได้ทำความสะอาดด้วยตัวเองโดยลบไฟล์ทั้งหมดที่เกี่ยวข้องกับแบ็คดอร์และเคลียร์ cronjobs ของพวกเขา” PAN กล่าว

การควบคุมที่สมบูรณ์

Karl Sigler ผู้จัดการฝ่ายวิจัยความปลอดภัยอาวุโสของ SpiderLabs ของ Trustwave กล่าวว่าการใช้ประโยชน์จาก CVE-2024-3400 จะทำให้ผู้โจมตีสามารถควบคุมอุปกรณ์ PAN ได้อย่างสมบูรณ์ “สิ่งนี้อาจทำให้ผู้โจมตีสามารถตั้งหลักในองค์กรได้มากขึ้น” เขากล่าว “มันยังอาจทำให้ผู้โจมตีสามารถปิดการใช้งานการป้องกันที่ได้รับจากอุปกรณ์ รวมถึงการปิดการใช้งานรายการควบคุมการเข้าถึงและการเชื่อมต่อ VPN”

Sigler กล่าวว่าช่องโหว่ในกรณีนี้ทำงานโดยให้อุปกรณ์ที่ได้รับผลกระทบบันทึกคำสั่งระบบปฏิบัติการในบันทึกข้อผิดพลาด คำสั่งเหล่านี้จะถูกประมวลผลและดำเนินการด้วยสิทธิ์ระดับรูท เขากล่าว “การปิดใช้งานการตรวจวัดระยะไกลของอุปกรณ์จะปิดใช้งานไฟล์บันทึก ซึ่งจะทำให้การโจมตีลัดวงจร” Sigler กล่าว “ความเสี่ยงหลักในการดำเนินการดังกล่าวคือผู้ดูแลระบบเครือข่ายมักจะพึ่งพาการตรวจวัดทางไกลนี้เพื่อแก้ไขปัญหาเกี่ยวกับอุปกรณ์ นอกจากนี้ การตรวจสอบพฤติกรรมเครือข่ายที่ผิดปกติอาจเป็นหลักฐานของการโจมตีที่กำลังดำเนินอยู่ การปิดใช้งานการวัดและส่งข้อมูลทางไกลอาจเป็นอุปสรรคต่อความพยายามเหล่านั้น”

Palo Alto ได้แนะนำองค์กรที่ไม่สามารถอัปเดตซอฟต์แวร์ได้ทันทีไม่ว่าจะด้วยเหตุผลใดก็ตาม ควรปิดใช้งานการวัดและส่งข้อมูลทางไกลของอุปกรณ์จนกว่าจะสามารถอัปเดตได้ ตามที่บริษัทกล่าวไว้ “เมื่ออัปเกรดแล้ว การตรวจวัดระยะไกลของอุปกรณ์ควรเปิดใช้งานอีกครั้งบนอุปกรณ์”

• เนื้อหาที่ขับเคลื่อนด้วย SEO และการเผยแพร่ประชาสัมพันธ์ รับการขยายวันนี้
• PlatoData.Network Vertical Generative Ai เพิ่มพลังให้กับตัวเอง เข้าถึงได้ที่นี่.
• เพลโตไอสตรีม. Web3 อัจฉริยะ ขยายความรู้ เข้าถึงได้ที่นี่.
• เพลโตESG. คาร์บอน, คลีนเทค, พลังงาน, สิ่งแวดล้อม แสงอาทิตย์, การจัดการของเสีย. เข้าถึงได้ที่นี่.
• เพลโตสุขภาพ เทคโนโลยีชีวภาพและข่าวกรองการทดลองทางคลินิก เข้าถึงได้ที่นี่.
• ที่มา: https://www.darkreading.com/cyberattacks-data-breaches/palo-alto-network-issues-hot-fixes-for-zero-day-bug-in-its-firewall-os