พบเหตุการณ์การโจมตีที่มุ่งเป้าไปยังพอร์ทัล Palo Alto Networks PAN-OS GlobalProtect โดยมี IP ที่ไม่ซ้ำกันเกือบ 24,000 รายการ ที่พยายามเข้าถึงโดยไม่ได้รับอนุญาตในช่วง 30 วันที่ผ่านมา

การโจมตีนี้ได้รับการแจ้งเตือนโดยบริษัทด้านความปลอดภัยทางไซเบอร์ GreyNoise ซึ่งแสดงให้เห็นถึงความซับซ้อนที่เพิ่มขึ้นของผู้ไม่หวังดีในการตรวจสอบการป้องกันของเครือข่ายเพื่อเตรียมการโจมตีในอนาคต

GreyNoise ตรวจพบเหตุการณ์ที่เพิ่มสูงขึ้นมาตั้งแต่วันที่ 17 มีนาคม 2025 โดยสูงสุดเกือบถึง 20,000 IP ที่ไม่ซ้ำกันต่อวัน

แม้ว่าเหตุการณ์จะลดลงภายในวันที่ 26 มีนาคม แต่ก็ยังแสดงให้เห็นถึงรูปแบบที่สอดคล้องกัน โดยส่วนใหญ่ของ IP ที่ถูกตรวจสอบมีลักษณะเป็น Suspicious (23,800) และ Outright Malicious (154)

Bob Rudis รองประธานฝ่าย Data Science ของ GreyNoise ระบุว่า การโจมตีครั้งนี้สอดคล้องกับแนวโน้มในอดีตที่มักจะเกิดขึ้นหลังจากการค้นพบช่องโหว่ใหม่ ๆ

"ในช่วง 18-24 เดือนที่ผ่านมา เราได้พบการโจมตีที่มุ่งเป้าไปยังช่องโหว่เก่า ๆ ซึ่งมักจะตามมาด้วยการค้นพบช่องโหว่ใหม่ ๆ ภายในไม่กี่สัปดาห์"

องค์กรที่ใช้ผลิตภัณฑ์ของ Palo Alto Networks ถูกแนะนำให้เสริมความปลอดภัยในพอร์ทัลการเข้าสู่ระบบของตนทันที เนื่องจากผู้ไม่หวังดีอาจกำลังเตรียมการโจมตีในอนาคต

ข้อสังเกตที่สำคัญ

GreyNoise พบหลายปัจจัยที่สำคัญในการพยายามโจมตีนี้

การวิเคราะห์แหล่งที่มา และประเทศปลายทาง

ประเทศต้นทาง : ส่วนใหญ่ของการโจมตีมาจากสหรัฐอเมริกา (16,249) และแคนาดา (5,823) โดยมีเหตุการณ์เพิ่มเติมมาจากฟินแลนด์, เนเธอร์แลนด์ และรัสเซีย
ประเทศปลายทาง : ส่วนใหญ่เป้าหมายคือระบบในสหรัฐอเมริกา (23,768) ตามด้วยสหราชอาณาจักร, ไอร์แลนด์, รัสเซีย และสิงคโปร์
เหตุการณ์ทั่วโลกนี้แสดงให้เห็นถึงการดำเนินการที่ประสานกันในหลายภูมิภาค

ผู้โจมตีที่มีส่วนร่วมหลัก และเครื่องมือที่ใช้

ผู้โจมตีที่มีส่วนร่วมหลักสามารถติดตามกลับได้ โดยมีการรับส่งข้อมูลไปยัง 3xK Tech GmbH ซึ่งรับผิดชอบ 20,010 IP ภายใต้ ASN200373

ผู้ที่มีส่วนร่วมอื่น ๆ ได้แก่ PureVoltage Hosting Inc.

ชุดของช่องโหว่ที่ถูกเรียกว่า "NachoVPN" ช่วยให้เซิร์ฟเวอร์ VPN ปลอมสามารถติดตั้งการอัปเดตที่เป็นอันตรายได้ โดยจะเกิดขึ้นเมื่อไคลเอนต์ SSL-VPN ของ Palo Alto และ SonicWall ที่ยังไม่ได้รับการแก้ไขช่องโหว่เชื่อมต่อกับเซิร์ฟเวอร์เหล่านี้ (more…)

Palo Alto Networks เผยแพร่แพตซ์อัปเดตด้านความปลอดภัยสำหรับช่องโหว่แบบ Zero-Days ที่กำลังถูกใช้ในการโจมตี 2 รายการใน Next-Generation Firewalls (NGFW) (more…)

Google ได้แก้ไขช่องโหว่สองรายการในแพลตฟอร์ม Vertex AI ที่อาจนำไปสู่การยกระดับสิทธิ์ และการขโมยข้อมูลโมเดล Machine learning (ML) ที่ทำการ Fine-Tuned มาแล้ว และ Large Language Models (LLMs) ออกไปได้ ตามรายงานของ Unit 42 จาก Palo Alto Networks เมื่อวันอังคารที่ผ่านมา (12 พฤศจิกายน 2024) (more…)

Palo Alto Networks แจ้งเตือนการพบช่องโหว่ Zero-Day ความรุนแรงระดับ Critical บน Next-Generation Firewalls (NGFW) management interfaces มีหมายเลขติดตามช่องโหว่ "PAN-SA-2024-0015" โดยพบว่ากำลังถูกนำไปใช้ในการโจมตีอย่างต่อเนื่อง (more…)

เมื่อวันศุกร์ที่ผ่านมา (8 พฤศจิกายน 2024) Palo Alto Networks ได้ออกคำแนะนำเชิงข้อมูล เพื่อให้ลูกค้าตรวจสอบให้แน่ใจว่ามีการกำหนดการเข้าถึง Management interface ของ PAN-OS อย่างปลอดภัย เนื่องจากอาจมีช่องโหว่ที่ทำให้สามารถเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลได้ (more…)

Exploit code สำหรับการโจมตีช่องโหว่ระดับความรุนแรงสูงสุด (CVE-2024-3400, CVSSv3: 10.0) ใน PAN-OS ไฟร์วอลล์ของ Palo Alto Networks ถูกปล่อยออกสู่สาธารณะเรียบร้อยแล้ว

โดยช่องโหว่นี้สามารถทำให้ผู้โจมตีที่ไม่จำเป็นต้องผ่านการยืนยันตัวตน สามารถใช้ประโยชน์จากช่องโหว่เพื่อเรียกใช้โค้ดที่เป็นอันตรายด้วยสิทธิ์ root ผ่าน command injection บนไฟร์วอลล์ PAN-OS 10.2, PAN-OS 11.0 และ PAN-OS 11.1 ที่มีช่องโหว่ หากอุปกรณ์ดังกล่าวเปิดใช้งาน telemetry และ GlobalProtect (เกตเวย์ หรือพอร์ทัล)

ในขณะที่ Palo Alto Networks ได้เริ่มปล่อย hotfixes ในวันจันทร์ที่ผ่านมา เพื่อแก้ไขช่องโหว่ที่คาดว่ากำลังถูกใช้ในการโจมตีมาตั้งแต่วันที่ 26 มีนาคม รวมถึงการติดตั้งแบ็คดอร์ Upstyleเพื่อใช้ในการโจมตีต่อไปยังภายในเครือข่าย และขโมยข้อมูล โดยกลุ่มผู้โจมตีที่คาดว่าได้รับการสนับสนุนจากรัฐบาลในชื่อ UTA0218

Shadowserver แพลตฟอร์มตรวจสอบภัยคุกคามความปลอดภัยระบุว่า พบอินสแตนซ์ไฟร์วอลล์ PAN-OS มากกว่า 156,000 รายการบนอินเทอร์เน็ต อย่างไรก็ตามยังไม่ได้ให้ข้อมูลว่าในจำนวนี้มีความเสี่ยงจากการโจมตีโดยช่องโหว่ดังกล่าวจำนวนเท่าใด

เมื่อวันศุกร์ที่ผ่านมา ยูทากะ เซจิยามะ เปิดเผยว่าพบอุปกรณ์ PAN-OS มากกว่า 82,000 ระบบที่เปิดให้เข้าถึงได้บนอินเทอร์เน็ต และเสี่ยงต่อการโจมตีจากช่องโหว่ CVE-2024-34000 โดย 40% อยู่ในสหรัฐอเมริกา (ประเทศไทยราว ๆ 907 ระบบ อ้างอิงจาก https://twitter.

พบช่องโหว่ Zero-Day การเรียกใช้โค้ดที่เป็นอันตรายจากระยะไกลบน Paloalto GlobalProtect

เมื่อวันที่ 10 เมษายน 2024 Volexity ตรวจพบการโจมตีโดยใช้ช่องโหว่ Zero-Day ของ GlobalProtect ซึ่งเป็นฟีเจอร์หนึ่งของ Palo Alto Networks PAN-OS จากหนึ่งในลูกค้าของพวกเขา โดย Volexity พบการแจ้งเตือนที่น่าสงสัยบนเครือข่าย ซึ่งมาจากไฟร์วอลล์ของลูกค้า

จากการตรวจสอบเพิ่มเติมพบว่าอุปกรณ์ดังกล่าวน่าจะถูก compromised ไปเรียบร้อยแล้ว วันถัดมาวันที่ 11 เมษายน 2024 Volexity พบการโจมตีโดยใช้งานช่องโหว่เดียวกันนี้กับลูกค้ารายอื่นของพวกเขา โดยมาจากผู้โจมตีรายเดียวกัน ผู้โจมตีซึ่ง Volexity เรียกว่า UTA0218 สามารถโจมตีช่องโหว่บนอุปกรณ์ไฟร์วอลล์จากระยะไกลได้ โดยพบการสร้าง reverse shell และดาวน์โหลดเครื่องมืออื่น ๆ ลงบนอุปกรณ์

(more…)

Palo Alto Network ได้เปิดเผยถึงช่องโหว่ที่มีความรุนเเรงระดับ “Critical” ซึ่งช่องโหว่นั้นอยู่บนระบบปฏิบัติการ PAN-OS ใน Next-Generation Firewall โดยช่องโหว่จะทำให้ผู้โจมตีที่ไม่ได้ทำการตรวจสอบสิทธิ์สามารถทำการ Bypass การตรวจสอบสิทธิ์ได้

ช่องโหว่ถูกติดตามด้วยรหัส CVE-2020-2021 (CVSSv3: 10/10) โดยช่องโหวนั้นอยู่ในฟีเจอร์การตั้งค่าของ PAN-OS ในระบบการตรวจสอบ Security Assertion Markup Language (SAML) Authentication ซึ่งจะทำให้ผู้โจมตีสามารถทำการ Bypass การตรวจสอบสิทธิ์และเข้าถึงอุปกรณ์ได้

ช่องโหว่นี้มีผลกระทบกับ PAN-OS 9.1 รุ่นก่อนหน้าเวอร์ชั่น 9.1.3, PAN-OS 9.0 รุ่นก่อนหน้าเวอร์ชัน 9.0.9, PAN-OS 8.1 รุ่นก่อนหน้าเวอร์ชัน 8.1.15 และ PAN-OS 8.0 (EOL) ทุกรุ่น โดยช่องโหว่นี้ไม่มีผลกับ PAN-OS 7.1

Palo Alto Network กล่าวว่าอุปกรณ์และระบบที่มีความเสี่ยงจากช่องโหว่นี้คือ GlobalProtect Gateway, GlobalProtect Portal, GlobalProtect Clientless VPN, Authentication and Captive Portal, Prisma Access systems และ PAN-OS Next-Generation Firewall (PA-Series และ VM-Series)

บริษัท Bad Packets กล่าวว่า Palo Alto (PAN-OS) เซิฟเวอร์ที่สามารถเข้าถึงได้จากอินเตอร์เน็ตนั้นมีประมาณ 58,521 โฮสและมี 4,291 โฮสที่ทำการใช้ SAML Authentication ในการตรวจสอบสิทธิ์ ซึ่งมีความเสี่ยงต่อการถูกโจมตีด้วยช่องโหว่ดังกล่าว

United States Cyber ​​Command ได้ออกมาเตือนบน Twitter ว่ากลุ่ม APT ต่างๆ กำลังพยายามใช้ประโยชน์จากช่องโหว่นี้และได้เเนะนำผู้ใช้งานหรือผู้ดูแลระบบทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุด

คำเเนะนำ
Palo Alto Network ได้ออกคำเเนะนำให้ผู้ใช้งานและผู้ดูแลระบบให้ทำการอัพเดตเเพตซ์และทำการติดตั้ง PAN-OS เป็น PAN-OS 9.1.3, PAN-OS 9.0.9 และ PAN-OS 8.1.15 โดยเร็วที่สุดเพื่อป้องกันการโจมตีจากช่องโหว่ดังกล่าว

ที่มา:

bleepingcomputer
zdnet

Palo Alto Networks ออกแพตช์แก้ไขช่องโหว่ใน PAN-OS ชุดใหญ่

Palo Alto Networks ได้ทำการแจ้งข้อมูลการแก้ไขช่องโหว่จำนวนมากให้ลูกค้ารับทราบโดยการแก้ไขช่องโหว่นั้นอยู่ในผลิตภัณฑ์ PAN-OS ซึ่งเป็นซอฟต์แวร์ Next-Generation Firewall ของบริษัท

ช่องโหว่ที่น่าสนใจและมีความร้ายแรงที่สุดคือ CVE-2020-2018 (CVSSv3 9) เป็นช่องโหว่ที่จะช่วยให้ผู้โจมตีสามารถเข้าถึงระบบการจัดการ Panorama management system และทำให้ห้ผู้โจมตีสามารถยกระดับสิทธิ์ในการเข้าถึงการจัดการบนไฟร์วอลล์ได้ โดยรุ่นที่ได้รับผลกระทบได้เเก่ PAN-OS 7.1 เวอร์ชันก่อนหน้า 7.1.26, PAN-OS 8.1 เวอร์ชั่นเก่ากว่า 8.1.12, PAN-OS 9.0 เวอร์ชันก่อนหน้า 9.0.6 และ PAN-OS 8.0 ทุกรุ่น

ช่องโหว่ CVE-2020-2012 (CVSSv3 7.5) ซึ่งเป็นช่องโหว่ XXE เป็นช่องโหว่ที่ทำให้ผู้โจมตีจากระยะไกลสามารถเข้าถึงอินเตอร์เฟส Panorama และสามารถอ่านไฟล์โดยไม่ได้รับอนุญาตในระบบ โดยรุ่นที่ได้รับผลกระทบได้เเก่ PAN-OS Panorama 9.0, 8.1, 8.0, 7.1

ช่องโหว่ CVE-2020-2011 (CVSSv3 7.5) เป็นช่องโหว่ซึ่งทำให้ผู้โจมตีจากระยะไกลสามารถทำปฏิเสธการให้บริการ (DoS) บนเซอร์วิสของ PAN-OS Panoram ทั้งหมดโดยรุ่นที่ได้รับผลกระทบได้เเก่ PAN-OS Panorama 9.0, 8.1, 8.0, 7.1

ข้อเเนะนำ
ผู้ใช้ PAN-OS เวอร์ชัน 9.1, 9.0, 8.1 ควรทำการอัพเดตเเพตซ์ให้เป็นเวอร์ชันใหม่ล่าสุดเพือป้องกันผลกระทบของช่องโหว่ ผู้ใช้งาน PAN-OS เวอร์ชัน 8.0 จะไม่ได้รับการรอัพเดตเเพตซ์เนื่องจากจะหมดอายุการใช้งานในวันที่ 31 ตุลาคม 2019 สำหรับเวอร์ชัน 7.1 จะรองรับการใช้งานจนถึงวันที่ 30 มิถุนายน 2020

ที่มา: securityweek