Dalış Özeti:
- Palo Alto Networks, güvenlik sağlayıcısının bazı güvenlik duvarlarını çalıştıran PAN-OS işletim sisteminde aktif olarak yararlanılan sıfır gün güvenlik açığına yönelik yamalar yayınladı. Şirket, güvenlik açığını Cuma günü açıkladı ve ilk yamaları Pazar günü yayınladı. güvenlik danışmanlığı.
- Komut enjeksiyon güvenlik açığı, CVE-2024-3400kimliği doğrulanmamış bir saldırganın kök ayrıcalıklarıyla rastgele kod yürütmesine olanak tanır, Palo Alto Networks’ün Birim 42’si Cuma günü bir tehdit brifinginde söyledi. Palo Alto Networks, bu güvenlik açığına, güvenlik açığının maksimum ciddiyeti olan 10 CVSS puanı atadı.
- Şirket, “bu güvenlik açığından yararlanan sınırlı sayıda saldırının farkında olduğunu” söyledi. Tehdit istihbarat firması Volexitybaşlangıçta sıfır gün açıklarını keşfetti 10 Nisan’da, daha sonra birden fazla müşteri ortamında başarılı bir şekilde yararlanmanın 26 Mart gibi erken bir tarihte başladığı belirlendi.
Dalış Bilgisi:
Volexity’nin keşfedilmesinden en az iki hafta önce zaten yararlanılan güvenlik açığı, GlobalProtect ağ geçidi veya portalı ve cihaz telemetrisi ile yapılandırılmış bazı PAN-OS güvenlik duvarlarını etkiliyor.
Volexity’ye göre saldırgan, istismarın ardından kalıcılık sağladı ve ele geçirilen cihazda çeşitli komutlar yürüttü. Bir örnekte saldırgan, Palo Alto Networks güvenlik duvarı cihazında yüksek ayrıcalıklı bir hizmet hesabı kullanarak iç ağa bağlandı ve burada Active Directory veritabanını, anahtar verilerini ve Windows olay günlüklerini hedef aldı.
Volexity araştırmacıları, “Saldırgan ayrıca Chrome ve Microsoft Edge için oturum açma verilerini, çerezleri ve yerel durum verilerini belirli hedeflerden çaldı” dedi. “Saldırgan, bu verilerle tarayıcının ana anahtarını ele geçirmeyi ve saklanan kimlik bilgileri gibi hassas verilerin şifresini çözmeyi başardı.”
Siber Güvenlik ve Altyapı Güvenliği Ajansı, CVE-2024-3400’ü kendi listesine ekledi bilinen istismar edilen güvenlik açıkları kataloğu Cuma gününde.
Palo Alto Networks, sıfır gün saldırılarını MidnightEclipse Operasyonu olarak tanımladığı bir gruba bağladı ancak şirket, başka saldırganların da bu güvenlik açığından yararlanmaya çalışabileceği konusunda uyardı. Palo Alto Networks yorum talebine yanıt vermedi.
Bu tür bir güvenlik açığını geliştirmek ve kullanmak için gereken kaynaklara, bu aktör tarafından hedeflenen kurban türlerine ve Python arka kapısını kurmak ve kurban ağlarına daha fazla erişim sağlamak için gösterilen yeteneklere dayanarak bir ulus devletin grubu desteklemesi kuvvetle muhtemeldir. Volexity araştırmacıları şöyle dedi:
Açıklardan yararlanmalar ve bunun sonucunda ortaya çıkan açığa çıkma, kurumsal ortamlardaki ağ cihazlarını ve güvenlik donanımını hedef alan yeni bir saldırı dizisine işaret ediyor. Finansal motivasyona sahip ve ulus devlet bağlantılı saldırganlar, tarafından satılan cihazlardaki güvenlik açıklarından geniş ölçüde yararlandı. Citrix, İvanti Ve Barakuda geçen yıl boyunca.