Hơn 2.000 Palo Alto firewall bị tấn công thông qua các lỗ hổng bảo mật

Gần đây, tin tặc đã xâm nhập vào hàng nghìn tường lửa của Palo Alto Networks bằng cách khai thác hai lỗ hổng bảo mật mới được vá gần đây. 

Hai lỗ hổng này bao gồm:

  1. Lỗ hổng bỏ qua xác thực (CVE-2024-0012): Lỗ hổng RCE này cho phép kẻ tấn công từ xa bỏ qua quá trình xác thực và giành quyền quản trị viên trên giao diện web quản lý của PAN-OS.
  2. Lỗ hổng leo thang đặc quyền (CVE-2024-9474): Lỗ hổng này cho phép kẻ tấn công thực thi các lệnh với quyền root trên firewall.

Gần đây, công ty đã cảnh báo về lỗ hổng CVE-2024-9474, tuy nhiên, họ cũng đưa ra khuyến cáo khách hàng về việc hạn chế quyền truy cập vào firewall từ ngày 8 tháng 11, liên quan đến lỗ hổng RCE được theo dõi với mã định danh CVE-2024-0012 vào thứ Sáu tuần trước.

Công ty cho biết họ đã quan sát thấy các tác nhân đe dọa sử dụng kết hợp hai lỗ hổng này để tấn công vào “một số lượng hạn chế các giao diện web quản lý thiết bị”, dẫn đến việc phát tán phần mềm độc hại và thực thi lệnh trên các firewall bị xâm phạm.

Mặc dù Palo Alto khẳng định rằng chỉ một số ít PAN-OS firewall bị ảnh hưởng, tuy nhiên nền tảng giám sát mối đe dọa Shadowserver đã báo cáo rằng hơn 2.700 thiết bị PAN-OS vẫn dễ bị tấn công. Trong số đó, khoảng 2.000 firewall đã bị tấn công kể từ khi bắt đầu chiến dịch này.

Cục An ninh mạng và An ninh cơ sở hạ tầng (CISA) đã đưa cả hai lỗ hổng vào danh sách các lỗ hổng bảo mật đã biết (KEV), yêu cầu các cơ quan liên bang khắc phục trong vòng ba tuần, chậm nhất là ngày 9 tháng 12. 

Palo Alto Networks đã đưa ra khuyến nghị mạnh mẽ cho khách hàng của mình để bảo mật giao diện quản lý tường lửa, bao gồm việc hạn chế quyền truy cập, chỉ cho các địa chỉ IP nội bộ đáng tin cậy. Công ty nhấn mạnh rằng việc thực hiện đúng các biện pháp bảo mật sẽ làm giảm đáng kể rủi ro từ các lỗ hổng này.

Nguồn: bleeping computer