Başlangıçta Palo Alto Ağı güvenlik duvarlarını CVE-2024-3400’ü kullanan saldırılara karşı korumanın, cihazların telemetrisini devre dışı bırakmak kadar kolay olduğu düşünülse de, artık bu azaltmanın etkisiz olduğu doğrulandı.
Palo Alto Networks Salı günü yaptığı açıklamada, “PAN-OS güvenlik duvarlarının bu güvenlik açığıyla ilgili saldırılara maruz kalması için cihaz telemetrisinin etkinleştirilmesine gerek yok” dedi ve “bu güvenlik açığından yararlanan artan sayıda saldırının” farkında olduklarını söyledi. güvenlik açığı.”
Yeni bulgular
Geçen Cuma, Palo Alto Networks, hem GlobalProtect ağ geçidi hem de cihaz telemetrisi için etkinleştirilmiş yapılandırmalarla PAN-OS v10.2, 11.0 ve 11.1 çalıştıran güvenlik duvarlarında kritik bir sıfır gün komut ekleme güvenlik açığı olan CVE-2024-3400 hakkında uyardı. İyi kaynaklara sahip tehdit aktörleri tarafından bir arka kapı kurmak ve elde edilen erişimi hedef kuruluşların ağlarında yanal hareket etmek için kullanmak için kullanılır.
O dönemde şirket, düzeltmeler hazır olana kadar müşterilerin belirli tehdit imzalarını etkinleştirerek ve cihaz telemetrisini devre dışı bırakarak istismar tehdidini azaltabileceğini söylemişti.
Düzeltmeler Pazar günü yayınlanmaya başladı ancak Palo Alto Networks Salı günü, düzeltmelerin artık etkili olmadığını doğruladı.
Çarşamba günü şirket yeni tehdit imzaları yayınladı ve müşterilerin cihazdaki istismar etkinliği göstergelerini tanımlamak için kullanabileceği bir CLI komutunu paylaştı.
Ayrıca, bu belirli PAN-OS sürümlerine sahip güvenlik duvarlarının, GlobalProtect ağ geçidi veya GlobalProtect portalı (veya her ikisi) ile yapılandırılması durumunda saldırıya açık olduğunu yinelediler.
CVE-2024-3400’den yararlanan saldırılar artıyor
Salı günü WatchTowr Labs, güvenlik açığına ilişkin analizlerini ve kavram kanıtı istismarını yayınladı ve aktif olarak yararlanılan bir istismar, TrustedSec CTO’su Justin Elze tarafından paylaşıldı.
Greynoise, istismar girişimlerini görmeye başladı.
Savunmasız güvenlik duvarları çalıştıran Palo Alto Ağı müşterileri, düzeltmeleri mümkün olan en kısa sürede uygulamalı ve güvenlik ihlali göstergelerini kontrol etmelidir.
“Palo Alto Network GlobalProtect güvenlik duvarı cihazınızın güvenliğinin ihlal edildiğini fark ederseniz hemen harekete geçmeniz önemlidir. Cihazı silmediğinizden veya yeniden oluşturmadığınızdan emin olun. Volexity araştırmacıları, günlüklerin toplanması, bir teknik destek dosyası oluşturulması ve cihazdaki adli bilişim eserlerinin (bellek ve disk) korunmasının çok önemli olduğunu belirtti.
Ancak herhangi bir güvenlik ihlali belirtisi bulamasanız bile düzeltmeyi uygulamadan önce bu eylemleri gerçekleştirmek iyi bir fikirdir.