CISA แจ้งเตือนช่องโหว่ระดับ Critical ของ Palo Alto Networks ที่กำลังถูกนำไปใช้ในการโจมตี

CISA แจ้งเตือนการพบ Hacker กำลังใช้ช่องโหว่การตรวจสอบสิทธิ์ใน Palo Alto Networks Expedition ซึ่งเป็น migration tool ที่สามารถช่วยแปลง configuration ไฟร์วอลล์จาก Checkpoint, Cisco และผู้ให้บริการรายอื่นให้สามารถใช้ได้กับ PAN-OS

CVE-2024-5910 (คะแนน CVSS 9.3/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ด้านการตรวจสอบสิทธิ์ ซึ่งทำให้ Hacker ที่มีสิทธิ์เข้าถึงเครือข่ายสามารถเข้าควบคุมบัญชีผู้ดูแลระบบ Expedition และอาจเข้าถึง configuration secret, ข้อมูล credentials และข้อมูลอื่น ๆ รวมถึงสามารถเข้าถึงได้จากระยะไกลเพื่อรีเซ็ตข้อมูล credentials ของบัญชีผู้ดูแลระบบแอปพลิเคชันบน Expedition server ที่สามารถเข้าถึงจากอินเทอร์เน็ตได้ โดยช่องโหว่ได้รับการแก้ไขไปแล้วในเดือนกรกฎาคม 2024

แม้ว่าหน่วยงานด้านความปลอดภัยทางไซเบอร์ยังไม่ได้เปิดเผยรายละเอียดเพิ่มเติมเกี่ยวกับการโจมตีช่องโหว่ แต่ Zach Hanley นักวิจัยช่องโหว่ของ Horizon3.ai ได้เผยแพร่ชุดสาธิตการโจมตีช่องโหว่ proof-of-concept exploit (PoC) ในเดือนตุลาคม 2024 ซึ่งสามารถช่วยให้เชื่อมโยงช่องโหว่ในการรีเซ็ตบัญชีผู้ดูแลระบบเข้ากับช่องโหว่ CVE-2024-9464 command injection (ได้รับการแก้ไขไปแล้วในตุลาคม 2024) ที่ทำให้สามารถเรียกใช้คำสั่งที่ไม่ผ่านการตรวจสอบสิทธิ์บน Expedition server ที่มีช่องโหว่ เพื่อเข้าควบคุมบัญชีผู้ดูแลระบบไฟร์วอลล์ และควบคุม PAN-OS firewalls ได้

Palo Alto Networks ยังไม่ได้อัปเดตคำแนะนำด้านความปลอดภัยเพื่อแจ้งเตือนลูกค้าเกี่ยวกับการโจมตีช่องโหว่ CVE-2024-5910 ที่กำลังดำเนินการอยู่ แนะนำให้ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตแพตซ์ความปลอดภัยได้ในทันที ให้จำกัดการเข้าถึงเครือข่าย Expedition ไว้เฉพาะผู้ใช้, โฮสต์ หรือเครือข่ายที่ได้รับอนุญาตเท่านั้น

CISA ยังได้เพิ่มช่องโหว่ดังกล่าวลงใน Known Exploited Vulnerabilities Catalog ตามข้อกำหนดในคำสั่งปฏิบัติการที่มีผลผูกพัน (BOD 22-01) ที่ออกในเดือนพฤศจิกายน 2021 หน่วยงานของรัฐบาลกลางสหรัฐฯ จะต้องอัปเดตแพตซ์ความปลอดภัยของ Palo Alto Networks Expedition server ที่มีช่องโหว่บนเครือข่ายของตนภายในสามสัปดาห์ หรือภายในวันที่ 28 พฤศจิกายน 2024

ที่มา : bleepingcomputer.com