Shadowserver Foundation’ın internet çapında yaptığı tarama, saldırganların yakın zamanda yamalanan iki sıfır gün (CVE-2024-0012 ve CVE-2024-9474) kullanarak yaklaşık 2.000 Palo Alto Networks güvenlik duvarını tehlikeye attığını ortaya çıkardı.
Kâr amacı gütmeyen kuruluş, ele geçirilen cihazların ağırlıklı olarak ABD ve Hindistan’da bulunduğunu söylüyor.
Manuel ve otomatik tarama etkinliği tespit edildi
Yaklaşık iki hafta önce Palo Alto Networks, saldırganların savunmasız cihazlarda uzaktan kod yürütmeyi sağlamak için sıfır gün kusurundan yararlandıklarının tespit edildiği konusunda uyardı ve yöneticilere, cihazların yönetim arayüzlerine erişimin uygun şekilde güvence altına alındığından emin olmalarını tavsiye etti.
Pazartesi günü şirket, istismar edilen iki sıfır gün olduğunu doğruladı: Söz konusu arayüze kimliği doğrulanmamış erişime izin veren CVE-2024-0012 ve saldırganların ele geçirilen Palo Alto’daki ayrıcalıklarını artırmasına olanak tanıyan CVE-2024-9474 Ağ güvenlik duvarları kökve saldırganlar üzerlerine web kabukları bırakıyor.
WatchTowr araştırmacıları, iki hatanın birlikte nasıl kullanılabileceğine dair bir analiz ve yöneticilerin cihazlarının bunlardan etkilenip etkilenmediğini kontrol etmek için kullanabileceği bir Nuclei şablonu yayınlayarak bunu takip etti.
Bu arada saldırılar devam ediyor ve Palo Alto saldırıların artabileceğini düşünüyor.
Şirketin olay müdahale ekipleri Çarşamba günü şunları paylaştı: “Şu anda Birim 42, CVE-2024-0012 ve CVE-2024-9474’ü birbirine bağlayan işlevsel bir istismarın kamuya açık olduğunu orta ila yüksek bir güvenle değerlendiriyor, bu da daha geniş bir tehdit faaliyetine olanak sağlayacak.”
“Birim 42 ayrıca, üçüncü taraf eserlerinin yaygın olarak kullanıma sunulmasının zaman çizelgesine uygun olarak hem manuel hem de otomatik tarama aktivitesini gözlemledi.”
Palo Alto Networks, bu saldırılarla ilişkili yeni risk göstergeleri eklemeye devam ediyor.
Şirket ayrıca, iki güvenlik açığının Panorama (güvenlik duvarı yönetimi) cihazlarının yanı sıra şüpheli dosyaları analiz etmek için korumalı alan sistemlerini kurmak için kullanılan WildFire cihazlarını da etkilediğini açıkladı. (Bu cihazlar aynı zamanda PAN-OS çalıştırıyor.)
Etkilenen kuruluşların, düzeltme rehberliği için güvenlik önerilerini kontrol etmeleri önerilir.