Exploit code สำหรับการโจมตีช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2024-3400, CVSSv3: 10.0) ใน PAN-OS ไฟร์วอลล์ของ Palo Alto Networks ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว
โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection บนไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่มีช่องโหว่ หากอุปกรณ์ดังกล่าวเปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล) (more…)
เมื่อวันที่ 15 ตุลาคม 2022 ที่ผ่านมา Palo Alto Networks ออกแพตช์ความปลอดภัยเพื่อแก้ไขช่องโหว่ authentication bypass ที่มีระดับความรุนแรงสูง หมายเลข CVE-2022-0030 (คะแนน CVSS 8.1)
โดยช่องโหว่ดังกล่าวจะส่งผลกระทบต่อ PAN-OS 8.1 web interface ของ Palo Alto Networks ซึ่งทำให้ผู้โจมตีที่มีความเข้าใจเกี่ยวกับ Firewall หรือ Panorama เป็นอย่างดีสามารถใช้สิทธิ์ในฐานะผู้ดูแลระบบ และดำเนินการต่าง ๆ ด้วยสิทธิ์ของผู้ดูแลระบบได้
รายการเวอร์ชันที่ได้รับผลกระทบ :
โดยช่องโหว่ดังกล่าวได้รับการแก้ไขไปแล้วใน PAN-OS 8.1.24 และเวอร์ชันที่ใหม่กว่า โดย Palo Alto ระบุว่า PAN-OS 8.1 end-of-life (EOL) และจะได้รับการสนับสนุนต่อเฉพาะในรุ่น PA-200, PA-500 และ PA-5000 Series และอุปกรณ์ M-100 จนกว่าจะถึงสถานะ EOL เช่นกัน
โดยก่อนหน้านี้ Palo Alto และ Aruba พึ่งอัปเดตแพตซ์ช่องโหว่หมายเลข CVE-2022-37913 และ CVE-2022-37914 ซึ่งทำให้ผู้โจมตีที่ไม่ผ่านการตรวจสอบสิทธิ์ สามารถเข้าถึงสิทธิ์ผู้ดูแลระบบบนระบบเป้าหมายซึ่งถูกเผยแพร่เมื่อวันที่ 11 ตุลาคมที่ผ่านมา และช่องโหว่หมายเลข CVE-2022-37915 ระดับ Critical บน orchestrator product ของ Aruba
ที่มา: securityaffairs
นักวิจัยจาก Palo Alto Network ได้เปิดเผยถึงการตรวจพบมัลแวร์ Cryptojacking ชนิดใหม่ที่มีชื่อว่า Pro-Ocean ของกลุ่มแฮกเกอร์ Rocke ที่พุ่งเป้าหมายไปยังเซิร์ฟเวอร์อินสแตนซ์ที่มีช่องโหว่ของ Apache ActiveMQ, Oracle WebLogic และ Redis
มัลแวร์ Pro-Ocean กำหนดเป้าหมายการโจมตีไปยังแอปพลิเคชันบนคลาวด์เซิร์ฟเวอร์และใช้ประโยชน์จากช่องโหว่ของเซิร์ฟเวอร์ Oracle WebLogic (CVE-2017-10271), Apache ActiveMQ (CVE-2016-3088) และอินสแตนซ์ Redis ที่ไม่ได้รับการแพตช์ความปลอดภัยเพื่อเข้าควบคุมเซิร์ฟเวอร์ของเป้าหมาย
นักวิจัยจาก Palo Alto Networks ได้ทำการวิเคราะห์มัลแวร์และพบว่ามัลแวร์มีความสามารถของรูทคิตและเวิร์มที่ถูกทำการปรับปรุงใหม่ ซึ่งจะช่วยให้มัลแวร์สามารถซ่อนกิจกรรมที่เป็นอันตรายและแพร่กระจายไปยังซอฟต์แวร์ที่อยู่บนเครือข่ายของเป้าหมายได้ นอกจากนี้มัลแวร์ยังมีความสามารถของ Cryptojacking ที่ถูกใช้ในการขุด Monero ที่มาพร้อมกับโมดูลที่จะคอย Monitor การใช้งานของ CPU ซึ่งถาหากมีการใช้งาน CPU มากกว่า 30% ตัวมัลแวร์จะทำการ Kill โปรเซสการทำงานทิ้ง เพื่อเป็นการป้องกันการถูกตรวจจับความผิดปกติของการทำงาน
ทั้งนี้ผู้ดูแลระบบเซิร์ฟเวอร์ Oracle WebLogic, Apache ActiveMQ และอินสแตนซ์ Redis ควรรีบทำการอัปเดตแพตช์ความปลอดภัยให้เป็นเวอร์ชันล่าสุดเพื่อป้องกันการตกเป็นเป้าหมายการโจมตีของมัลแวร์ Pro-Ocean
ที่มา: bleepingcomputer