ผู้เชี่ยวชาญแจ้งเตือนว่า พบการสแกนจากที่อยู่ IP ที่น่าสงสัย มุ่งเป้าไปยังพอร์ทัลล็อกอินของ Palo Alto Networks ซึ่งแสดงให้เห็นถึงความพยายามในการหาข้อมูลอย่างชัดเจน (more…)

Palo Alto Networks ประสบเหตุการณ์ข้อมูลรั่วไหล ซึ่งทำให้ข้อมูลลูกค้า และ support cases ถูกเปิดเผย หลังจากที่ผู้โจมตีใช้ประโยชน์จาก OAuth tokens ที่ได้จากการรั่วไหลของ Salesloft Drift เพื่อเข้าถึงระบบ Salesforce ของบริษัท (more…)

Palo Alto Networks เปิดเผยว่า ขณะนี้บริษัทกำลังเฝ้าติดตามความพยายามเข้าสู่ระบบด้วยวิธี brute-force ที่มุ่งเป้าไปยัง GlobalProtect gateways บน PAN-OS ซึ่งเกิดขึ้นเพียงไม่กี่วันหลังจากนักวิเคราะห์ด้านภัยคุกคามออกมาเตือนถึงแนวโน้มของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ และมีเป้าหมายไปที่อุปกรณ์ของบริษัทอย่างต่อเนื่อง

โฆษกของ Palo Alto Networks ให้ข้อมูลกับ The Hacker News ว่า ทีมงานตรวจพบพฤติกรรมที่เข้าข่ายการโจมตีด้วยรหัสผ่าน เช่น การพยายามเข้าสู่ระบบแบบ brute-force แต่ยังไม่พบหลักฐานว่ามีการเจาะระบบผ่านช่องโหว่ใดโดยตรง โดยทางบริษัทกำลังติดตามสถานการณ์อย่างใกล้ชิด พร้อมวิเคราะห์พฤติกรรมที่เกี่ยวข้อง เพื่อประเมินผลกระทบที่อาจเกิดขึ้น และพิจารณาความจำเป็นในการใช้มาตรการป้องกันเพิ่มเติม

เหตุการณ์นี้เกิดขึ้นหลังจากบริษัท GreyNoise ซึ่งเชี่ยวชาญด้านข่าวกรองภัยคุกคาม ออกมาแจ้งเตือนถึงการเพิ่มขึ้นอย่างผิดปกติของการสแกนเพื่อพยายามเข้าสู่ระบบในลักษณะที่ผิดปกติ โดยมุ่งเป้าไปยัง GlobalProtect portals บน PAN-OS

GreyNoise ระบุว่า การดำเนินการดังกล่าวเริ่มต้นเมื่อวันที่ 17 มีนาคม 2025 และพุ่งขึ้นถึงจุดสูงสุดด้วยจำนวน IP addresses ไม่ซ้ำกันกว่า 23,958 รายการ ก่อนที่แนวโน้มจะเริ่มลดลงในช่วงปลายเดือน รูปแบบของการดำเนินการนี้สะท้อนให้เห็นถึงความพยายามที่มีการประสานงานกันในการสำรวจระบบเครือข่าย เพื่อค้นหาระบบที่เปิดให้เข้าถึง หรือมีช่องโหว่ที่สามารถใช้โจมตีได้

การสแกนเพื่อพยายามเข้าสู่ระบบในครั้งนี้ มุ่งเป้าไปที่ระบบในสหรัฐอเมริกา, สหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์เป็นหลัก

ปัจจุบันยังไม่สามารถยืนยันได้ว่าความพยายามเหล่านี้มีการแพร่กระจายไปในวงกว้างแค่ไหน หรือเกี่ยวข้องกับกลุ่มผู้ผู้โจมตีรายใดเป็นพิเศษ โดย The Hacker News ได้ติดต่อไปยัง Palo Alto Networks เพื่อขอความคิดเห็นเพิ่มเติม และจะมีการอัปเดตเนื้อหาเมื่อได้รับข้อมูลตอบกลับ

ในระหว่างนี้ บริษัทแนะนำให้ผู้ใช้งานตรวจสอบให้แน่ใจว่าระบบกำลังใช้ PAN-OS เวอร์ชันล่าสุด พร้อมทั้งดำเนินมาตรการเสริมเพื่อเพิ่มความปลอดภัย เช่น การบังคับใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA), การตั้งค่า GlobalProtect ให้รองรับการแจ้งเตือน MFA, การกำหนดนโยบายด้านความปลอดภัยเพื่อช่วยตรวจจับ และป้องกันการโจมตีแบบ brute-force, รวมถึงการจำกัดการเปิดให้สามารถเข้าถึงระบบจากอินเทอร์เน็ตเท่าที่จำเป็นเท่านั้น

ที่มา : thehackernews

 

 

Palo Alto Networks ออกอัปเดตเพื่อแก้ไขช่องโหว่ระดับความรุนแรงสูงใน PAN-OS ที่อาจทำให้ถูกโจมตีแบบ Authentication Bypass ได้ (more…)

Palo Alto Networks เผยแพร่แพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการใน Next-Generation Firewalls (NGFW) (more…)

Google ได้แก้ไขช่องโหว่สองรายการในแพลตฟอร์ม Vertex AI ที่อาจนำไปสู่การยกระดับสิทธิ์ และการขโมยข้อมูลโมเดล Machine learning (ML) ที่ทำการ Fine-Tuned มาแล้ว และ Large Language Models (LLMs) ออกไปได้ ตามรายงานของ Unit 42 จาก Palo Alto Networks เมื่อวันอังคารที่ผ่านมา (12 พฤศจิกายน 2024) (more…)

Palo Alto Networks แจ้งเตือนการพบช่องโหว่ Zero-Day ความรุนแรงระดับ Critical บน Next-Generation Firewalls (NGFW) management interfaces มีหมายเลขติดตามช่องโหว่ "PAN-SA-2024-0015" โดยพบว่ากำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง (more…)

Palo Alto Networks เริ่มออก hotfixes เพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม 2024 เพื่อติดตั้งแบ็คดอร์บน PAN-OS ไฟร์วอลล์

ช่องโหว่ดังกล่าว (CVE-2024-3400) มีระดับความรุนแรงสูงสุด (CVSSv3: 10.0) ส่งผลต่อไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่เปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

โดยผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

ปัจจุบัน Palo Alto ได้แก้ไขช่องโหว่ดังกล่าวด้วย hotfix ที่ออกสำหรับ PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 และ PAN-OS 11.1.2-h3 โดย hotfixes อื่น ๆ เพิ่มเติมจะถูกเผยแพร่สำหรับ PAN-OS เวอร์ชันถัด ๆ ไปในอีกไม่กี่วันข้างหน้า

ตามคำแนะนำของ Palo Alto Networks อุปกรณ์ Cloud NGFW, อุปกรณ์ Panorama และ Prisma Access จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตได้ในทันที สามารถปิดใช้งานฟีเจอร์ device telemetry บนอุปกรณ์ที่มีช่องโหว่จนกว่าจะสามารถอัปเดตแพตซ์ได้ หากอุปกรณ์มีการใช้งาน 'Threat Prevention' สามารถบล็อกการโจมตีได้ด้วยการเปิดใช้งาน 'Threat ID 95187'

คำเตือนของ Palo Alto Networks เกี่ยวกับการโจมตี ได้รับการยืนยันโดยบริษัทรักษาความปลอดภัย Volexity ซึ่งเป็นผู้ค้นพบช่องโหว่ และตรวจพบผู้โจมตีที่ใช้มันเพื่อติดตั้งแบ็คดอร์บน PAN-OS โดยใช้มัลแวร์ Upstyle ในการโจมตีเครือข่าย และขโมยข้อมูล

Volexity กำลังติดตามพฤติกรรมดังกล่าวภายใต้ชื่อผู้โจมตี UTA0218 และคาดว่าผู้โจมตีเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีแนวโน้มที่จะอยู่เบื้องหลังการโจมตีที่กำลังดำเนินอยู่เหล่านี้

นักวิจัยด้านภัยคุกคาม ยูทากะ เซจิยามะ เปิดเผยเมื่อวันศุกร์ที่ผ่านมาว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 เครื่องที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา

CISA ได้เพิ่ม CVE-2024-3400 ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยสั่งให้หน่วยงานของรัฐบาลกลางจัดการด้านความปลอดภัยอุปกรณ์ของตน โดยใช้ mitigation rule หรือปิดใช้งาน telemetry ภายในหนึ่งสัปดาห์ หรือภายในวันที่ 19 เมษายน 2024

ที่มา : https://www.

Palo Alto Networks เริ่มออก hotfixes เพื่อแก้ไขช่องโหว่ Zero-day ที่กำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม 2024 เพื่อติดตั้งแบ็คดอร์บน PAN-OS ไฟร์วอลล์

ช่องโหว่ดังกล่าว (CVE-2024-3400) มีระดับความรุนแรงสูงสุด (CVSSv3: 10.0) ส่งผลต่อไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่เปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

โดยผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection โดยไม่จำเป็นต้องมีการโต้ตอบจากผู้ใช้

ปัจจุบัน Palo Alto ได้แก้ไขช่องโหว่ดังกล่าวด้วย hotfix ที่ออกสำหรับ PAN-OS 10.2.9-h1, PAN-OS 11.0.4-h1 และ PAN-OS 11.1.2-h3 โดย hotfixes อื่น ๆ เพิ่มเติมจะถูกเผยแพร่สำหรับ PAN-OS เวอร์ชันถัด ๆ ไปในอีกไม่กี่วันข้างหน้า

ตามคำแนะนำของ Palo Alto Networks อุปกรณ์ Cloud NGFW, อุปกรณ์ Panorama และ Prisma Access จะไม่ได้รับผลกระทบจากช่องโหว่นี้

ผู้ดูแลระบบที่ยังไม่สามารถอัปเดตได้ในทันที สามารถปิดใช้งานฟีเจอร์ device telemetry บนอุปกรณ์ที่มีช่องโหว่จนกว่าจะสามารถอัปเดตแพตซ์ได้ หากอุปกรณ์มีการใช้งาน 'Threat Prevention' สามารถบล็อกการโจมตีได้ด้วยการเปิดใช้งาน 'Threat ID 95187'

คำเตือนของ Palo Alto Networks เกี่ยวกับการโจมตี ได้รับการยืนยันโดยบริษัทรักษาความปลอดภัย Volexity ซึ่งเป็นผู้ค้นพบช่องโหว่ และตรวจพบผู้โจมตีที่ใช้มันเพื่อติดตั้งแบ็คดอร์บน PAN-OS โดยใช้มัลแวร์ Upstyle ในการโจมตีเครือข่าย และขโมยข้อมูล

Volexity กำลังติดตามพฤติกรรมดังกล่าวภายใต้ชื่อผู้โจมตี UTA0218 และคาดว่าผู้โจมตีเป็นกลุ่มที่ได้รับการสนับสนุนจากรัฐ ซึ่งมีแนวโน้มที่จะอยู่เบื้องหลังการโจมตีที่กำลังดำเนินอยู่เหล่านี้

นักวิจัยด้านภัยคุกคาม ยูทากะ เซจิยามะ เปิดเผยเมื่อวันศุกร์ที่ผ่านมาว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 เครื่องที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา

CISA ได้เพิ่ม CVE-2024-3400 ลงในแค็ตตาล็อก Known Exploited Vulnerabilities (KEV) โดยสั่งให้หน่วยงานของรัฐบาลกลางจัดการด้านความปลอดภัยอุปกรณ์ของตน โดยใช้ mitigation rule หรือปิดใช้งาน telemetry ภายในหนึ่งสัปดาห์ หรือภายในวันที่ 19 เมษายน 2024

ที่มา : https://www.

พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

เมื่อวันที่ 10 เมษายน 2024 Volexity ตรวจพบการโจมตีโดยใช้ช่องโหว่ Zero-Day ของ GlobalProtect ซึ่งเป็นฟีเจอร์หนึ่งของ Palo Alto Networks PAN-OS จากหนึ่งในลูกค้าของพวกเขา โดย Volexity พบการแจ้งเตือนที่น่าสงสัยบนเครือข่าย ซึ่งมาจากไฟร์วอลล์ของลูกค้า

จากการตรวจสอบเพิ่มเติมพบว่าอุปกรณ์ดังกล่าวน่าจะถูก compromised ไปเรียบร้อยแล้ว วันถัดมาวันที่ 11 เมษายน 2024 Volexity พบการโจมตีโดยใช้งานช่องโหว่เดียวกันนี้กับลูกค้ารายอื่นของพวกเขา โดยมาจากผู้โจมตีรายเดียวกัน ผู้โจมตีซึ่ง Volexity เรียกว่า UTA0218 สามารถโจมตีช่องโหว่บนอุปกรณ์ไฟร์วอลล์จากระยะไกลได้ โดยพบการสร้าง reverse shell และดาวน์โหลดเครื่องมืออื่น ๆ ลงบนอุปกรณ์

(more…)