En kritisk PAN-OS zero-day-sårbarhed bliver aktivt udnyttet mod Palo Alto Networks-firewalls, hvilket udsætter organisationer for øjeblikkelig risiko. Sikkerhedsforskere advarede om, at angribere kan misbruge sårbarheden til at opnå fjernudførelse af kode med root-rettigheder. Problemet påvirker interneteksponerede PAN-OS-enheder med Captive Portal-funktionen aktiveret.
Angrebene har allerede skabt bekymring i både virksomheds- og myndighedsmiljøer, der er afhængige af Palo Alto Networks-enheder til perimeterbeskyttelse.
Kritisk sårbarhed muliggør fjernudførelse af kode
PAN-OS zero-day-sårbarheden påvirker PA-Series- og VM-Series-firewalls, der kører sårbare PAN-OS-versioner. Ifølge forskere kan angribere sende specialudformede forespørgsler til sårbare systemer og eksekvere ondsindet kode eksternt uden autentificering.
Sårbarheden retter sig mod User-ID Authentication Portal, almindeligvis kaldet Captive Portal-funktionen. Systemer, der er direkte eksponeret mod internettet, står over for den højeste risiko.
Palo Alto Networks bekræftede, at angribere allerede udnytter sårbarheden i begrænsede virkelige angreb. Virksomheden gav problemet en kritisk alvorlighedsgrad, fordi vellykket udnyttelse giver root-adgang til berørte enheder.
Sikkerhedsteams advarede om, at kompromitterede firewalls kan give angribere en direkte vej ind i interne virksomhedsnetværk. Når angribere får kontrol over en perimeterenhed, kan de overvåge trafik, stjæle legitimationsoplysninger og bevæge sig dybere ind i virksomhedsmiljøer.
Forskere mistænker avancerede trusselsaktører
Flere sikkerhedsforskere mener, at angrebene viser tegn på avanceret trusselsaktivitet. Begrænset og målrettet udnyttelse tyder ofte på involvering fra meget kapable cyberspionagegrupper.
Selvom Palo Alto Networks ikke officielt har knyttet angrebene til nogen aktør, bemærkede analytikere ligheder med tidligere kampagner, der involverede statsstøttede grupper. Edge-sikkerhedsenheder fortsætter med at tiltrække avancerede angribere, fordi de fungerer som grænsen mellem organisationer og det offentlige internet.
Firewalls er blevet værdifulde mål under nyere cyberspionagekampagner, fordi de ofte giver vedvarende adgang til følsomme netværk.
Organisationer opfordres til at iværksætte sikkerhedsforanstaltninger
Palo Alto Networks opfordrede administratorer til straks at begrænse adgangen til Captive Portal-funktionen. Organisationer bør begrænse eksponeringen til betroede interne IP-adresser eller deaktivere funktionen, indtil sikkerhedsrettelser bliver tilgængelige.
Virksomheden oplyste, at Prisma Access-, Panorama- og Cloud NGFW-produkter ikke påvirkes af sårbarheden.
Forskere anbefalede også, at organisationer overvåger firewall-logs for usædvanlig aktivitet, gennemgår autentificeringshændelser og undersøger mistænkelige udgående forbindelser.
Konklusion
PAN-OS zero-day-angrebene fremhæver den voksende fare for interneteksponerede sikkerhedsenheder. Angribere fortsætter med at målrette firewalls, fordi vellykket udnyttelse kan åbne adgang til hele virksomhedsnetværk. Indtil officielle sikkerhedsrettelser bliver tilgængelige, bør organisationer, der bruger berørte PAN-OS-enheder, prioritere afhjælpende tiltag og overvåge deres miljøer nøje for tegn på kompromittering.
0 svar til “PAN-OS zero-day-sårbarhed udnyttes i aktive firewall-angreb”