超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞

admin 2024年11月25日16:35:58评论11 views字数 1261阅读4分12秒阅读模式
超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞

数千台Palo Alto Networks防火墙据报遭到黑客攻击,攻击者利用了最近才修补的零日漏洞(CVE-2024-0012和CVE-2024-9474)在PAN-OS中。

CVE-2024-0012是Palo Alto Networks PAN-OS中的漏洞,允许未经身份验证的攻击者拥有网络访问权来绕过身份验证并获取管理员权限。这项访问权限使管理员可以执行管理操作、更改配置或利用其他漏洞,如CVE-2024-9474。

该问题影响PAN-OS版本10.2、11.0、11.1和11.2,但不影响Cloud NGFW或Prisma Access。CVE-2024-9474是Palo Alto Networks PAN-OS软件中的特权提升漏洞,允许具有管理web界面访问权限的PAN-OS管理员执行以root身份执行的操作。这周,美国国家网络安全局(CISA)将这两个漏洞添加到其已知漏洞目录(KEV)。

在11月中旬,Palo Alto Networks确认观察到某些有限的防火墙管理界面受到未经身份验证的远程命令执行漏洞的攻击。Palo Alto说,这个零日漏洞已经被用来在受感染设备上部署web壳,从而授予持久的远程访问权限。 “Palo Alto Networks和Unit 42正在跟踪与CVE-2024-0012和CVE-2024-9474相关的有限的利用活动,并与外部研究人员、合作伙伴和客户合作,分享信息透明和快速。” Palo Alto发布的报告中读到。

该报告最初观察到来自以下IP地址的恶意活动:

  • 136.144.17.*

  • 173.239.218.251

  • 216.73.162.*

该特别警告指出,这些IP地址可能与VPN服务相关,因此也可能与-legitimate user activity相关。 “Palo Alto Networks继续跟踪随着第三方研究人员于2024年11月19日开始公开技术见解和艺术ifacts的公开活动的威胁活动。目前,Unit 42根据moderate to high confidence评估认为,功能 exploit chaining CVE-2024-0012和CVE-2024-9474现在是公开可用的,这将使广泛的威胁活动变得可能。”

报告继续说。 “Unit 42还观察到两个手动和自动扫描活动 aligning with the timeline of third-party artifacts becoming widely available.” 该调查仍在进行中,Palo Alto Networks更新了Indicators of Compromise的列表。Shadowserver研究员追踪了受感染的Palo Alto Networks防火墙数量,报告约有2000台防火墙被黑客攻击,这些攻击是CVE-2024-0012/CVE-2024-9474活动的一部分。受感染的设备大多数来自美国(554)和印度(461)。

原文始发于微信公众号(黑猫安全):超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月25日16:35:58
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   超过2000台Palo Alto Networks防火墙遭到黑客攻击,攻击者利用了最近才修补的零日漏洞https://cn-sec.com/archives/3434632.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息