Palo Alto Networks确认近期披露的零日漏洞正在被积极利用

上周，Palo Alto Networks 警告客户限制对其下一代防火墙管理界面的访问，因为 PAN-OS 中存在潜在的远程代码执行漏洞（CVSSv4.0 基本分数：9.3）。当时该网络安全公司没有提供关于该漏洞的更多细节，并且不知道该漏洞正在被积极利用。

其安全公告中写道：“Palo Alto Networks 意识到有人声称通过 PAN-OS 管理界面存在远程代码执行漏洞。目前，我们还不了解所声称漏洞的具体情况。我们正在积极监控任何利用迹象。我们强烈建议客户确保根据我们推荐的最佳实践部署指南正确配置对管理界面的访问。特别是，我们建议您确保只有从受信任的内部 IP 地址才能访问管理界面，而不是从互联网访问。绝大多数防火墙已经遵循此 Palo Alto Networks 和行业最佳实践。” Palo Alto Networks 建议审查保护其设备管理访问权限的最佳实践。保护 Palo Alto 管理界面的指南包括：将其隔离在专用管理 VLAN 上、使用跳板服务器进行访问、将入站 IP 地址限制为已批准的管理设备，以及仅允许安全通信（SSH、HTTPS）和 PING 用于连接测试。

该网络安全公司表示，他们没有关于任何入侵指标的足够信息。现在，该公司确认其 PAN-OS 防火墙管理界面中的零日漏洞已在野外被积极利用，并发布了入侵指标 (IoC)。

其安全公告中写道：“Palo Alto Networks 观察到威胁活动利用未经身份验证的远程命令执行漏洞针对暴露于互联网的少量防火墙管理界面。我们正在积极调查此活动。我们强烈建议客户确保根据我们推荐的最佳实践部署指南正确配置对管理界面的访问。特别是，我们建议您立即确保只有从受信任的内部 IP 地址才能访问管理界面，而不是从互联网访问。绝大多数防火墙已经遵循此 Palo Alto Networks 和行业最佳实践。” 该网络安全公司观察到来自以下 IP 地址的恶意活动：136.144.17.0/24、173.239.218.251、216.73.162.0/24。该公告指出，这些 IP 地址可能与 VPN 服务相关联，因此也与合法用户活动相关联。

Palo Alto 表示，该零日漏洞已被利用来在受感染设备上部署 Web shell，从而获得持久的远程访问权限。CVE 编号正在等待分配。“我们观察到一个 Web shell，其校验和为 3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668。”

该公告写道。将管理界面访问权限限制为特定 IP 地址可以显著降低利用风险，首先需要特权访问。在这种情况下，CVSS 分数降至 7.5（高）。本周，美国网络安全和基础设施安全局 (CISA) 将以下 Palo Alto Expedition 漏洞添加到其已知已利用漏洞 (KEV) 目录中：CVE-2024-9463 Palo Alto Networks Expedition 操作系统命令注入漏洞；CVE-2024-9465 Palo Alto Networks Expedition SQL 注入漏洞。

原文始发于微信公众号（黑猫安全）：Palo Alto Networks确认近期披露的零日漏洞正在被积极利用