2.000 kadar Palo Alto Networks cihazının, yeni ortaya çıkan ve aktif olarak istismar edilen güvenlik kusurlarını kötüye kullanan bir kampanyanın parçası olarak ele geçirildiği tahmin ediliyor.
Shadowserver Vakfı tarafından paylaşılan istatistiklere göre, enfeksiyonların çoğunluğu ABD (554) ve Hindistan’da (461) rapor edilirken, onları Tayland (80), Meksika (48), Endonezya (43) ve Türkiye (41) takip ediyor. , Birleşik Krallık (39), Peru (36) ve Güney Afrika (35).
Bu haftanın başlarında Censys, 13.324 adet kamuya açık yeni nesil güvenlik duvarı (NGFW) yönetim arayüzü tespit ettiğini ve bunların %34’ünün ABD’de bulunduğunu açıkladı. Ancak, açığa çıkan bu ana bilgisayarların hepsinin mutlaka savunmasız olmadığını belirtmek önemlidir.
Söz konusu kusurlar, CVE-2024-0012 (CVSS puanı: 9,3) ve CVE-2024-9474 (CVSS puanı: 6,9), kötü niyetli bir kişinin aşağıdakiler de dahil olmak üzere kötü niyetli eylemler gerçekleştirmesine olanak tanıyan, kimlik doğrulama atlama ve ayrıcalık yükseltmenin bir birleşimidir. Yapılandırmaları değiştirmek ve isteğe bağlı kod yürütmek.
Lunar Peek Operasyonu adı altında kusurların ilk sıfır gün istismarını izleyen Palo Alto Networks, bunların komut yürütmeyi gerçekleştirmek ve saldırıya uğramış güvenlik duvarlarına PHP tabanlı web kabukları gibi kötü amaçlı yazılımları düşürmek için silah haline getirildiklerini söyledi.
Ağ güvenliği sağlayıcısı ayrıca, güvenlik kusurlarını hedef alan siber saldırıların, bunları birleştiren bir istismarın ortaya çıkmasının ardından muhtemelen artacağı konusunda da uyardı.
Bu amaçla, “CVE-2024-0012 ve CVE-2024-9474’ü birbirine bağlayan işlevsel bir istismarın kamuya açık olduğunu ve bunun daha geniş bir tehdit faaliyetini mümkün kılacağını orta ila yüksek bir güvenle değerlendirdiğini” söyledi.
Ayrıca, hem manuel hem de otomatik tarama etkinliğini gözlemlediğini, bunun da kullanıcıların en son düzeltmeleri mümkün olan en kısa sürede uygulamasını ve önerilen en iyi uygulama dağıtım yönergelerine göre yönetim arayüzüne güvenli erişimi gerektirdiğini belirtti.
Bu, özellikle internetten harici erişimi önlemek için erişimin yalnızca güvenilir dahili IP adreslerine kısıtlanmasını içerir.