西门子敦促使用配置了 Palo Alto Networks (PAN) 虚拟 NGFW 的 Ruggedcom APE1808 设备的组织针对 PAN 最近在其下一代防火墙产品中披露的最严重的零日漏洞实施解决方案。
命令注入漏洞,标识为 CVE-2024-3400,当启用某些功能时,会影响多个版本的 PAN-OS 防火墙。攻击者一直在利用该缺陷在受影响的防火墙上部署新颖的 Python 后门。
积极利用
PAN 修复了该缺陷 本月早些时候,Volexity 的研究人员发现了该漏洞并将其报告给安全供应商。在有多个组织攻击该漏洞的报告后,美国网络安全和基础设施安全局 (CISA) 将 CVE-2024-3400 添加到其已知被利用漏洞的目录中。
Palo Alto Networks 自己也表示 意识到越来越多的攻击 利用 CVE-2024-3400 并警告该缺陷的概念验证代码已公开。
据西门子称,其 Ruggedcom APE1808 产品(通常作为工业控制环境中的边缘设备部署) 容易受到这个问题的影响。西门子描述了配置有 GlobalProtect 网关或 GlobalProtect 门户(或两者)的 PAN Virtual NGFW 产品的所有版本均受该漏洞影响。
西门子在一份公告中表示,它正在研究该漏洞的更新,并建议客户同时采取具体对策以降低风险。这些措施包括使用 PAN 发布的特定威胁 ID 来阻止针对该漏洞的攻击。西门子的公告指出了 PAN 建议禁用 GlobalProtect 网关和 GlobalProtect 门户,并提醒客户这些功能在 Ruggedcom APE1808 部署环境中已默认禁用。
PAN 最初还建议组织禁用设备遥测,以防止针对该缺陷的攻击。该安全供应商后来以无效为由撤回了该建议。该公司指出:“不需要启用设备遥测,PAN-OS 防火墙就会受到与此漏洞相关的攻击。”
西门子敦促客户作为一般规则,通过适当的机制保护工业控制环境中设备的网络访问,并表示:“为了在受保护的 IT 环境中操作设备,西门子建议根据西门子的操作指南配置环境为了工业安全。”
Shadowserver 基金会,负责监控互联网上与威胁相关的流量, 识别出约 5,850 个易受攻击的实例 截至 22 月 2,360 日,PAN 的 NGFW 已暴露并可通过互联网访问。其中约 1,800 个易受攻击的实例似乎位于北美;亚洲的暴露病例数量位居第二,约有 XNUMX 例。
暴露于互联网的设备仍然是 ICS/OT 的关键风险
目前尚不清楚这些暴露的实例中有多少是在工业控制系统 (ICS) 和操作技术 (OT) 设置中。但总的来说,互联网暴露仍然是 ICS 和 OT 环境中的一个主要问题。 A Forescout 的新调查 发现了全球近 110,000 个面向互联网的 ICS 和 OT 系统。美国处于领先地位,占暴露实例的 27%。然而,与几年前相比,这个数字明显下降。相比之下,Forescout 发现其他国家暴露于互联网的 ICS/OT 设备数量急剧增加,包括西班牙、意大利、法国、德国和俄罗斯。
Forescout 表示:“机会主义攻击者越来越多地大规模滥用这种暴露,有时他们的目标理由非常宽松,受到趋势的驱动,例如时事、模仿行为或新的现成功能或黑客指南中发现的紧急情况。” 。安全供应商评估认为,此次暴露至少部分与系统集成商提供的捆绑包(其中包含组件)无意中将 ICS 和 OT 系统暴露到互联网有关。 Forescout 表示:“很可能,大多数资产所有者都不知道这些打包单元包含暴露的 OT 设备。”
