Palo Alto Networks แจ้งเตือนการโจมตี Firewall ด้วยช่องโหว่ public exploit

Palo Alto Networks ออกมาแจ้งเตือนผู้ใช้งานให้อัปเดตช่องโหว่ด้านความปลอดภัย (ด้วย public exploit code) ที่ทำให้สามารถโจมตีเพื่อเข้าถึง PAN-OS firewalls ได้

ช่องโหว่ดังกล่าวพบในโซลูชัน Expedition ของ Palo Alto Networks ที่ช่วยในการย้ายค่า configuration จาก Checkpoint, Cisco หรือผู้จำหน่ายอื่น ๆ ที่รองรับ

ช่องโหว่หลายรายการใน Palo Alto Networks Expedition ทำให้ Hacker สามารถ Expedition database และไฟล์โดยสุ่ม รวมถึงเขียนไฟล์โดยสุ่มไปยังตำแหน่งจัดเก็บชั่วคราวบนระบบ Expedition ทำให้สามารถเข้าถึงข้อมูลที่มีความสำคัญ เช่น ชื่อผู้ใช้, รหัสผ่านแบบข้อความธรรมดา, การกำหนดค่าอุปกรณ์ และคีย์ API ของอุปกรณ์ของไฟร์วอลล์ PAN-OS ซึ่งช่วยในการเข้าควบคุมบัญชีผู้ดูแลระบบไฟร์วอลล์ได้

ช่องโหว่เหล่านี้เป็นผลรวมของช่องโหว่ command injection, ช่องโหว่ reflected cross-site scripting (XSS), ช่องโหว่ cleartext storage of sensitive information, ช่องโหว่ missing authentication และช่องโหว่ SQL injection

  • CVE-2024-9463 (unauthenticated command injection vulnerability)
  • CVE-2024-9464 (authenticated command injection vulnerability)
  • CVE-2024-9465 (unauthenticated SQL injection vulnerability)
  • CVE-2024-9466 (cleartext credentials stored in logs)
  • CVE-2024-9467 (unauthenticated reflected XSS vulnerability)

สามารถนำ PoC ไปใช้ในการโจมตีได้

Zach Hanley นักวิจัยช่องโหว่ของ Horizon3.ai ผู้ค้นพบ และรายงานช่องโหว่ 4 รายการ ยังได้เผยแพร่รายงานการวิเคราะห์สาเหตุหลักที่ให้รายละเอียดว่าเขาพบช่องโหว่เหล่านี้ได้อย่างไร ในขณะที่ค้นคว้าช่องโหว่ CVE-2024-5910 (ถูกเปิดเผย และแก้ไขในเดือนกรกฎาคม 2024 ) ทำให้ Hacker สามารถรีเซ็ตข้อมูล credentials ของผู้ดูแลระบบ Expedition application ได้

รวมถึงยังได้เปิดตัวชุดสาธิตการโจมตีช่องโหว่ proof-of-concept exploit (PoC) ที่เชื่อมโยงช่องโหว่ admin reset (CVE-2024-5910) เข้ากับช่องโหว่ command injection (CVE-2024-9464) เพื่อให้สามารถเรียกใช้คำสั่งโดยที่ไม่ผ่านการตรวจสอบบน Expedition servers ที่มีช่องโหว่ได้

ปัจจุบัน Palo Alto Networks ยังไม่พบหลักฐานว่าช่องโหว่ด้านความปลอดภัยดังกล่าวถูกนำไปใช้ในการโจมตีเป้าหมาย แต่ก็แจ้งเตือนให้ผู้ดูแลระบบเร่งทำการอัปเดตไปยัง Expedition 1.2.96 และ Expedition เวอร์ชันใหม่กว่าทั้งหมดโดยด่วนเพื่อป้องกันการโจมตีช่องโหว่ดังกล่าว

โดย cleartext file ที่ได้รับผลกระทบจาก CVE-2024-9466 จะถูกลบออกโดยอัตโนมัติระหว่างการอัปเกรด รวมถึงได้แนะนำให้เปลี่ยน usernames, passwords และ API key หลังจากอัปเดตเป็น Expedition เวอร์ชันล่าสุด

ทั้งนี้หากผู้ดูแลระบบที่ยังไม่สามารถทำการอัปเดตด้านความปลอดภัยได้ทันที ควรจำกัดการเข้าถึง Expedition network access ให้เฉพาะผู้ใช้โฮสต์ หรือเครือข่ายที่ได้รับอนุญาตเท่านั้น

Palo Alto Networks ได้เริ่มออกโปรแกรม hotfixes สำหรับช่องโหว่ zero-day ที่มีระดับความรุนแรงสูงสุดซึ่งถูกใช้ในการโจมตีมาตั้งแต่เดือนมีนาคม โดยกลุ่มผู้โจมตีที่ได้รับการสนับสนุนจากรัฐ ซึ่งถูกติดตามในชื่อ UTA0218 เพื่อโจมตีไฟร์วอลล์ PAN-OS

ที่มา : bleepingcomputer