Serpinti sıfır gün istismarları Palo Alto Networks’ün güvenlik duvarlarını kullanan kuruluşları hedefleme, araştırmacıların farklı düzeylerde istismara ilişkin kanıtlar içeren binlerce savunmasız cihazı gözlemlemesiyle birlikte genişliyor.
Shadowserver, Cumartesi günü saldırganların açıklarından yararlanarak geride kalan dosyaların varlığını taradı ve keşfetti Savunmasız olduğu düşünülen ve muhtemelen istismar edilen 6.634 cihazKâr amacı gütmeyen siber güvenlik araştırma vakfı, bir analizde şunları söyledi: Pazar günü yayınlandı. Savunmasız Palo Alto Networks cihazlarının sayısı Pazartesi günü 6.000’in altına düştü.
Ancak Palo Alto Networks, Shadowserver’ın bulgularının doğruluğunu sorguladı ve çok az sayıda istismarın önemli tavizlerle sonuçlandığını söyledi.
Palo Alto Networks sözcüsü Pazartesi günü e-posta yoluyla yaptığı açıklamada, “Şu anda görülen istismarlara dayanarak harici bir tarama yoluyla bir uzlaşmanın uzaktan doğrulanabileceğine inanmıyoruz” dedi. “Shadowserver, GlobalProtect örneklerinin sürümünü tahmin ediyor gibi görünüyor ancak cihaza uygulanan azaltımları hesaba katmıyor olabilir.”
Birim 42’nin gözlemlediği açıklardan “çok sınırlı sayıda uzlaşma” etkileşimli komut yürütmeye yol açtı.
Shadowserver’ın gözlemlediği adli deliller arasında, cihazda oluşturulan 0 baytlık dosyalar da dahil olmak üzere istismardan kaynaklanan yapılar yer alıyor. “Bu, bir cihazın güvenliğinin ihlal edildiği anlamına gelmiyor ve aslında hafifletici önlemlerin uygulanmasını da hesaba katmıyor.” Shadowserver CEO’su Piotr Kijewski e-posta yoluyla söyledi.
“Raporladığımız şey, cihazların yama yapılıp yapılmadığıdır. Yama yapılmadıklarında onları muhtemelen savunmasız olarak rapor ediyoruz, bazı istismar işlemlerine dair kanıt gördüğümüzde ise onları savunmasız olarak rapor ediyoruz” dedi Kijewski.
Shadowserver’ın 200’den fazla ulusal bilgisayar güvenliği olayına müdahale ekibiyle günlük olarak paylaşılan analizi, saldırganların yama uygulanmamış veya hali hazırda istismar edilen cihazlara devam eden saldırılar başlatabileceği potansiyel mekanizmanın altını çiziyor.
Palo Alto Networks, etkilenen cihaz sayısını belirtmedi. Şirketin tehdit istihbarat ekibi, bugüne kadar gözlemlenen istismarların çoğunun ya başarısız olduğunu ya da yalnızca istismar edilebilecek PAN-OS güvenlik duvarı cihazlarını arayan saldırganlar tarafından yapılan taramalar olduğunu söyledi. Orijinal tehdit özetine ilişkin Cuma güncellemesi.
Güvenlik sağlayıcısı, istismar etkinliğini dört düzeyde kategorize etti:
- Seviye 0, saldırganın müşteri ağına erişmeye çalıştığında geride bıraktığı adli yapılar tarafından işaretlenen başarısız yararlanma girişimlerini içerir.
- Seviye 1 istismarları, güvenliği başarıyla ihlal edilmiş bir cihazı içerir. Bu durumlarda saldırgan, güvenlik duvarında 0 baytlık bir dosya oluşturdu ancak “minimum düzeyde yararlanma zinciri başarısı” elde etti.
- Seviye 2 istismarları, saldırganın web isteği yoluyla erişilebilen bir konuma kopyaladığı cihazdaki bir dosyanın keşfedilmesini içerir, ancak dosyanın daha sonra indirilip indirilmediği bilinmemektedir.
- Seviye 3 açıklarından yararlanmalar, kabuk tabanlı arka kapılar, kod enjeksiyonu, dosya indirmeleri ve komut çalıştırmaları dahil olmak üzere etkileşimli komut yürütme işaretleriyle işaretlenir.
Palo Alto Networks, 2. seviye istismarları “sınırlı”, 3. seviye güvenlik ihlallerini ise “çok sınırlı” olarak tanımladı.
Komut ekleme güvenlik açığı CVE-2024-3400CVSS değeri 10 olan , kimliği doğrulanmamış bir saldırganın kök ayrıcalıklarıyla rastgele kod yürütmesine olanak tanır ve bazı PAN-OS cihazlarındaki GlobalProtect ağ geçidi veya portal VPN özelliğini etkiler.
Birim 42’nin Kıdemli Başkan Yardımcısı Wendi Whitmore, tehdit istihbaratı bölümünün CVE için mevcut tüm hizmet müşterilerine hiçbir ek ücret ödemeden olay müdahale hizmetleri sağladığını söyledi. Whitmore Cuma günü yaptığı açıklamada, “Düzeltmeler mevcuttur ve kapsam dahilindeki tüm kuruluşlar bunları derhal uygulamalıdır” dedi. LinkedIn gönderisi.
Şirket, sıfır gün güvenlik açığından ve aktif istismarlardan ilk kez 10 Nisan’da araştırmacıların haberdar olmasıyla haberdar oldu. Volexity etkinliği keşfetti. Palo Alto Networks sözcüsü, “Etkilenen bir müşteri, 10 Nisan’da çevrelerinde yakalanan şüpheli bir sızma girişimi hakkında iletişime geçti” dedi.
Volexity keşfini yapmadan önce en az iki hafta boyunca sıfır gün istismarları devam ediyordu.
Palo Alto Networks geçen hafta güvenlik açığından etkilenen cihaz grubunu genişletti, ikincil bir azaltma eylemini geri çekti ve uyarıda bulundu Açıklardan yararlanma girişimleri ve saldırılar hızlanıyordu birden fazla üçüncü tarafın CVE için kavramların kanıtını açıklamasının ardından.
Yayılan istismar etkinliği, kurumsal ortamlardaki ağ cihazlarına ve güvenlik donanımına yönelik yeni bir saldırı dalgasına işaret ediyor. Finansal motivasyona sahip ve ulus devlet bağlantılı saldırganlar, tarafından satılan cihazlardaki güvenlik açıklarından geniş ölçüde yararlandı. Citrix, İvanti Ve Barakuda geçen yıl boyunca.
Palo Alto Networks, sıfır gün saldırılarını MidnightEclipse Operasyonu olarak tanımladığı ulus devlete bağlı bir gruba bağladı, ancak o sırada gelecekte başka saldırganların da saldırı girişiminde bulunmasının beklendiğini söyledi.