Şirket Pazartesi günü yaptığı açıklamada, saldırganların CVE-2024-3400’den yararlanıldıktan sonra Palo Alto Networks güvenlik duvarlarında kalıcılık elde etmelerine olanak tanıyan kavram kanıtlama teknikleri bulunduğunu ancak “şu anda bu güvenlik duvarını kullanmaya yönelik herhangi bir kötü niyetli girişimden haberdar olmadıklarını” doğruladı. Bu kalıcılık teknikleri, güvenlik açığının aktif olarak kullanılmasına yöneliktir.”
“Bu teknikler, etkileşimli kök düzeyinde komut yürütme özelliği zaten tehlikeye atılmış bir cihazda çalışıyor” diye eklediler.
Gelişen durum
12 Nisan’da Palo Alto Networks, internete açık güvenlik duvarlarına yönelik, muhtemelen arka kapılar kurmayı, hassas verileri ele geçirmeyi ve hedef kuruluşların ağları üzerinden yanal olarak hareket etmeyi başaran devlet destekli bir tehdit aktörü tarafından yapılan sınırlı saldırılar konusunda uyarıda bulundu.
Başlangıçta saldırganların bir sıfır gün güvenlik açığından yararlandıkları düşünüldü, ancak daha sonra Rapid7 tarafından iki ayrı güvenlik açığını birbirine zincirledikleri doğrulandı: “GlobalProtect web sunucusunda ayrı bir CVE atanmamış rastgele bir dosya oluşturma güvenlik açığı, ve cihazın telemetri özelliğinde CVE-2024-3400” olarak adlandırılan bir komut ekleme güvenlik açığı.
O tarihten bu yana Palo Alto Networks, ilgili güvenlik tavsiyelerini ve Birim 42 Tehdit Özetini güncellemenin yanı sıra, hafifletme ve düzeltmeye yönelik ek tavsiyeler yayınladı.
Düzeltmeler kullanıma sunuldu ve müşterilere, hafifletici önlemler (ör. Tehdit Önleme güncellemeleri) uygulamış olsalar bile bunları uygulamaları tavsiye edildi.
18 Nisan’da şirket, “bu güvenlik açığından yararlanan artan sayıda saldırının” tespit edildiğini ve kusur(lar)a ilişkin kavramların kanıtlarının üçüncü taraflarca kamuya açıklandığını söyledi.
20 Nisan’da, “PAN-OS’in sabit bir sürümüne yeniden başlatmadan önce” bir teknik destek dosyasının (TSF) edinilmesi gerektiğini doğruladılar çünkü “önceki sistem kurulumundaki bazı günlüklere cihazda erişilemez hale gelecek.” Müşterilere, cihaz günlüklerinin bu güvenlik açığından yararlanmaya yönelik bilinen girişimlerle eşleşip eşleşmediğini kontrol etmek için TSF’yi göndermeleri önerildi.
23 Nisan’da Birim 42, yanıt verdikleri vakaların büyük çoğunluğunun ya güvenlik açığından yararlanmaya yönelik başarısız girişimler ya da güvenlik açığının cihazda test edilen örnekleri olduğunu söyledi. Diğer durumlar arasında, hedeflenen güvenlik duvarlarının “sınırlı” yapılandırma dosyası sızması ve “çok sınırlı” etkileşimli erişim ihlalleri yer almaktadır.
Palo Alto güvenlik duvarlarında istismar sonrası kalıcılık
25 Nisan’da Palo Alto, müşteriler için (her bir uzlaşma düzeyi için) iyileştirme önerileri yayınladı ve 29 Nisan’da, üçüncü tarafların “kavram kanıtlarından” haberdar olduklarını doğruladı. [i.e., Nick Wilson] Sıfırlamalardan ve yükseltmelerden kurtulabilen, istismar sonrası kalıcılık tekniklerinin geliştirilmesi.
Şu anda bu tekniklerin ilk saldırganlar veya diğer saldırganlar tarafından kullanıldığına dair bir gösterge yok. Yine de, devlet destekli tehdit aktörleri daha önce Ivanti VPN cihazlarına yeniden başlatmalardan ve ürün yazılımı yükseltmelerinden sağ çıkan kötü amaçlı yazılım yüklemenin yollarını bulmuş ve görünüşe göre Barracuda Networks’ün fiziksel E-posta Güvenliği Ağ Geçidi (ESG) cihazlarını, bunların değiştirilmesini zorunlu kılacak şekilde tehlikeye atmayı başarmışlar.