พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

เมื่อวันที่ 10 เมษายน 2024 Volexity ตรวจพบการโจมตีโดยใช้ช่องโหว่ Zero-Day ของ GlobalProtect ซึ่งเป็นฟีเจอร์หนึ่งของ Palo Alto Networks PAN-OS จากหนึ่งในลูกค้าของพวกเขา โดย Volexity พบการแจ้งเตือนที่น่าสงสัยบนเครือข่าย ซึ่งมาจากไฟร์วอลล์ของลูกค้า

จากการตรวจสอบเพิ่มเติมพบว่าอุปกรณ์ดังกล่าวน่าจะถูก compromised ไปเรียบร้อยแล้ว วันถัดมาวันที่ 11 เมษายน 2024 Volexity พบการโจมตีโดยใช้งานช่องโหว่เดียวกันนี้กับลูกค้ารายอื่นของพวกเขา โดยมาจากผู้โจมตีรายเดียวกัน ผู้โจมตีซึ่ง Volexity เรียกว่า UTA0218 สามารถโจมตีช่องโหว่บนอุปกรณ์ไฟร์วอลล์จากระยะไกลได้ โดยพบการสร้าง reverse shell และดาวน์โหลดเครื่องมืออื่น ๆ ลงบนอุปกรณ์

(more…)

Palo Alto Network ได้เปิดเผยถึงช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ซึ่งช่องโหว่นั้นอยู่บนระบบปฏิบัติการ PAN-OS ใน Next-Generation Firewall โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Bypass การตรวจสอบสิทธิ์ได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-2021 (CVSSv3: 10/10) โดยช่องโหวนั้นอยู่ในฟีเจอร์การตั้งค่าของ PAN-OS ในระบบการตรวจสอบ Security Assertion Markup Language (SAML) Authentication ซึ่งจะทำให้ผู้โจมตีสามารถทำการ Bypass การตรวจสอบสิทธิ์และเข้าถึงอุปกรณ์ได้

ช่องโหว่นี้มีผลกระทบกับ PAN-OS 9.1 รุ่นก่อนหน้าเวอร์ชั่น 9.1.3, PAN-OS 9.0 รุ่นก่อนหน้าเวอร์ชัน 9.0.9, PAN-OS 8.1 รุ่นก่อนหน้าเวอร์ชัน 8.1.15 และ PAN-OS 8.0 (EOL) ทุกรุ่น โดยช่องโหว่นี้ไม่มีผลกับ PAN-OS 7.1

Palo Alto Network กล่าวว่าอุปกรณ์และระบบที่มีความเสี่ยงจากช่องโหว่นี้คือ GlobalProtect Gateway, GlobalProtect Portal, GlobalProtect Clientless VPN, Authentication and Captive Portal, Prisma Access systems และ PAN-OS Next-Generation Firewall (PA-Series และ VM-Series)

บริษัท Bad Packets กล่าวว่า Palo Alto (PAN-OS) เซิฟเวอร์ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตนั้นมีประมาณ 58,521 โฮสและมี 4,291 โฮสที่ทำการใช้ SAML Authentication ในการตรวจสอบสิทธิ์ ซึ่งมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ดังกล่าว

United States Cyber ​​Command ได้ออกมาเตือนบน Twitter ว่ากลุ่ม APT ต่างๆ กำลังพยายามใช้ประโยชน์จากช่องโหว่นี้และได้เเนะนำผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุด

คำเเนะนำ
Palo Alto Network ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูแลระบบให้ทำการอัพเดตเเพตซ์และทำการติดตั้ง PAN-OS เป็น PAN-OS 9.1.3, PAN-OS 9.0.9 และ PAN-OS 8.1.15 โดยเร็วที่สุดเพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

ที่มา:

bleepingcomputer
zdnet

Palo Alto Networks ออกแพตช์แก้ไขช่องโหว่ใน PAN-OS ชุดใหญ่

Palo Alto Networks ได้ทำการแจ้งข้อมูลการแก้ไขช่องโหว่จำนวนมากให้ลูกค้ารับทราบโดยการแก้ไขช่องโหว่นั้นอยู่ในผลิตภัณฑ์ PAN-OS ซึ่งเป็นซอฟต์แวร์ Next-Generation Firewall ของบริษัท

ช่องโหว่ที่น่าสนใจและมีความร้ายแรงที่สุดคือ CVE-2020-2018 (CVSSv3 9) เป็นช่องโหว่ที่จะช่วยให้ผู้โจมตีสามารถเข้าถึงระบบการจัดการ Panorama management system และทำให้ห้ผู้โจมตีสามารถยกระดับสิทธิ์ในการเข้าถึงการจัดการบนไฟร์วอลล์ได้ โดยรุ่นที่ได้รับผลกระทบได้เเก่ PAN-OS 7.1 เวอร์ชันก่อนหน้า 7.1.26, PAN-OS 8.1 เวอร์ชั่นเก่ากว่า 8.1.12, PAN-OS 9.0 เวอร์ชันก่อนหน้า 9.0.6 และ PAN-OS 8.0 ทุกรุ่น

ช่องโหว่ CVE-2020-2012 (CVSSv3 7.5) ซึ่งเป็นช่องโหว่ XXE เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงอินเตอร์เฟส Panorama และสามารถอ่านไฟล์โดยไม่ได้รับอนุญาตในระบบ โดยรุ่นที่ได้รับผลกระทบได้เเก่ PAN-OS Panorama 9.0, 8.1, 8.0, 7.1

ช่องโหว่ CVE-2020-2011 (CVSSv3 7.5) เป็นช่องโหว่ซึ่งทำให้ผู้โจมตีจากระยะไกลสามารถทำปฏิเสธการให้บริการ (DoS) บนเซอร์วิสของ PAN-OS Panoram ทั้งหมดโดยรุ่นที่ได้รับผลกระทบได้เเก่ PAN-OS Panorama 9.0, 8.1, 8.0, 7.1

ข้อเเนะนำ
ผู้ใช้ PAN-OS เวอร์ชัน 9.1, 9.0, 8.1 ควรทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุดเพือป้องกันผลกระทบของช่องโหว่ ผู้ใช้งาน PAN-OS เวอร์ชัน 8.0 จะไม่ได้รับการรอัพเดตเเพตซ์เนื่องจากจะหมดอายุการใช้งานในวันที่ 31 ตุลาคม 2019 สำหรับเวอร์ชัน 7.1 จะรองรับการใช้งานจนถึงวันที่ 30 มิถุนายน 2020

ที่มา: securityweek

บริษัทด้านความปลอดภัยบน IoT(Internet of Things) ของ Palo Alto ชื่อว่า "Armis" ได้ค้นพบช่องโหว่ของ Bluetooth ที่ถูกตั้งชื่อว่า "BlueBorne" ซึ่งหากถูกโจมตีจะทำให้ผู้โจมตีสามารถเข้าควบคุมอุปกรณ์ได้อย่างสมบูรณ์ ครอบคลุมระบบปฎิบัติการ Android, iOS, Linux และ Windows ที่เปิดใช้งาน Bluetooth เอาไว้ เพียงแค่อยู่ในรัศมีที่ไม่เกิน 32 ฟุต จากเครื่องเป้าหมาย และสามารถโจมตีได้โดยที่ตัวอุปกรณ์ไม่จำเป็นต้องจับคู่ (Pair) กับอุปกรณ์ที่ใช้โจมตี รวมถึงไม่จำเป็นต้องเปิดโหมดค้นหาอุปกรณ์ (Discovery mode) แต่อย่างใด
ช่องโหว่ BlueBorne คล้ายกับการโจมตีด้วย Broadcom Wi-Fi ที่ถูกค้นพบเมื่อต้นปีนี้ในเดือนเมษายนและกรกฎาคม การโจมตีทำให้ผู้โจมตีสามารถโจมตีระยะไกลได้กับอุปกรณ์ iPhones และอุปกรณ์ Android เกือบทั้งหมด

ระบบที่ได้รับผลกระทบ
• ระบบปฏิบัติการ iOS เวอร์ชัน 9.3.5 หรือต่ำกว่า
• ระบบปฏิบัติการ Android ที่ยังไม่ได้ติดตั้งแพตช์ประจำเดือนกันยายน 2560
• ระบบปฏิบัติการ Windows ที่ยังไม่ได้ติดตั้งแพตช์ประจำเดือนกันยายน 2560
• ระบบปฏิบัติการ Linux ที่ยังไม่ได้ติดตั้งแพตช์หลังจากวันที่ 12 กันยายน 2560
• ระบบปฏิบัติการ macOS เวอร์ชัน 10.11 หรือต่ำกว่า

ทั้งนี้ผู้ใช้งาน Android สามารถดาวน์โหลดแอพพลิเคชั่นเพื่อใช้ตรวจสอบช่องโหว่ BlueBorne ซึ่งถูกพัฒนาโดยทีมจาก Armis ซึ่งเป็นผู้พบช่องโหว่ดังกล่าว ได้จาก Link ด้านล่าง
https://play.

Palo Alto Networks ได้ออกมาเปิดเผยถึงช่องโหว่ 4 รายการ ซึ่งรวมถึงช่องโหว่ Remote Code Execution และ DDOS ในนั้นด้วย โดยระบบของ Palo Alto Networks ที่ถูกพบช่องโหว่พร้อมออก Patch มาให้อัพเดตกันอย่างเร่งด่วนมีดังนี้

GlobalProtect/SSL VPN Web Interface พบช่องโหว่ร้ายแรงและช่องโหว่ระดับปานกลางในการทำ Buffer Overflow ที่เปิดให้ผู้โจมตีทำ DoS ได้
Management Web Interface พบช่องโหว่ระดับสูงที่ทำ Remote Code Execution ได้
Command Line Interface พบช่องโหว่ระดับต่ำที่ทำให้ผู้โจมตีสามารถเรียกใช้คำสั่งด้วยสิทธิ์ Root ได้

สำหรับช่องโหว่เหล่านี้ PAN-OS ที่ได้รับผลกระทบนั้นได้แก่รุ่น 5.0.17, 5.1.10, 6.0.12, 6.1.9, 7.0.5 และก่อนหน้าทั้งหมด ดังนั้นผู้ใช้งาน Palo Alto Networks ควรรีบ Patch ทันที

ที่มา : theregister