En kritisk PAN-OS nolldagssårbarhet utnyttjas aktivt mot Palo Alto Networks-brandväggar, vilket utsätter organisationer för omedelbar risk. Säkerhetsforskare varnade för att angripare kan utnyttja sårbarheten för att få fjärrkörning av kod med root-behörighet. Problemet påverkar internetexponerade PAN-OS-enheter med Captive Portal-funktionen aktiverad.
Attackerna har redan skapat oro inom både företags- och myndighetsmiljöer som använder Palo Alto Networks-enheter för perimetersäkerhet.
Kritisk sårbarhet möjliggör fjärrkörning av kod
PAN-OS-nolldagssårbarheten påverkar PA-Series- och VM-Series-brandväggar som kör sårbara PAN-OS-versioner. Enligt forskare kan angripare skicka specialutformade förfrågningar till sårbara system och köra skadlig kod på distans utan autentisering.
Sårbarheten riktar sig mot User-ID Authentication Portal, vanligtvis kallad Captive Portal-funktionen. System som är direkt exponerade mot internet löper störst risk.
Palo Alto Networks bekräftade att angripare redan utnyttjar sårbarheten i begränsade verkliga attacker. Företaget gav problemet en kritisk allvarlighetsgrad eftersom framgångsrik exploatering ger root-åtkomst till drabbade enheter.
Säkerhetsteam varnade för att komprometterade brandväggar kan ge angripare en direkt väg in i interna företagsnätverk. När angripare tar kontroll över en perimeterenhet kan de övervaka trafik, stjäla inloggningsuppgifter och röra sig djupare in i företagsmiljöer.
Forskare misstänker avancerade hotaktörer
Flera säkerhetsforskare anser att attackerna visar tecken på avancerad hotaktivitet. Begränsad och riktad exploatering tyder ofta på inblandning från mycket kapabla cyberespionagegrupper.
Även om Palo Alto Networks inte officiellt har kopplat attackerna till någon aktör noterade analytiker likheter med tidigare kampanjer som involverade statligt sponsrade grupper. Edge-säkerhetsenheter fortsätter att locka avancerade angripare eftersom de fungerar som gränsen mellan organisationer och det publika internet.
Brandväggar har blivit värdefulla mål under senare cyberespionagekampanjer eftersom de ofta ger långvarig åtkomst till känsliga nätverk.
Organisationer uppmanas att vidta skyddsåtgärder
Palo Alto Networks uppmanade administratörer att omedelbart begränsa åtkomsten till Captive Portal-funktionen. Organisationer bör begränsa exponeringen till betrodda interna IP-adresser eller stänga av funktionen tills säkerhetsuppdateringar blir tillgängliga.
Företaget uppgav att Prisma Access, Panorama och Cloud NGFW-produkter inte påverkas av sårbarheten.
Forskare rekommenderade även att organisationer granskar brandväggsloggar efter ovanlig aktivitet, analyserar autentiseringshändelser och undersöker misstänkta utgående anslutningar.
Slutsats
PAN-OS-nolldagsattackerna visar den växande risken för internetexponerade säkerhetsenheter. Angripare fortsätter att rikta in sig på brandväggar eftersom framgångsrik exploatering kan öppna åtkomst till hela företagsnätverk. Tills officiella säkerhetsuppdateringar blir tillgängliga bör organisationer som använder drabbade PAN-OS-enheter prioritera skyddsåtgärder och övervaka sina miljöer noggrant efter tecken på intrång.
0 svar till ”PAN-OS nolldagssårbarhet utnyttjas i aktiva brandväggsattacker”