超2000 台 Palo Alto Networks 设备遭入侵

admin 2024年11月26日00:04:29评论15 views字数 1117阅读3分43秒阅读模式

超2000 台 Palo Alto Networks 设备遭入侵

据相关媒体披露,大约有2000台Palo Alto Networks设备在一场利用新披露的安全漏洞的活动中被入侵,这些漏洞正在野外受到积极利用。

根据Shadowserver Foundation提供的统计数据,大多数感染报告来自美国(554例)和印度(461例),其次是泰国(80例)、墨西哥(48例)、印度尼西亚(43例)、土耳其(41例)、英国(39例)、秘鲁(36例)和南非(35例)。Censys本周早些时候透露,他们已识别出13,324个公开暴露的下一代防火墙(NGFW)管理界面,其中34%的暴露位于美国。需要注意的是,并非所有暴露的主机都必然会受攻击。

有问题的缺陷CVE-2024-0012(CVSS 评分:9.3)和 CVE-2024-9474(CVSS 评分:6.9)是身份验证绕过和权限提升的组合,可能允许不良行为者执行恶意操作,包括修改配置和执行任意代码。

超2000 台 Palo Alto Networks 设备遭入侵

根据Marsh McLennan网络安全情报中心进行的一项全面研究,该报告分析了超过161000起独特的网络安全事件。研究结果显示了一个令人担忧的趋势:脆弱或不安全的API和机器人自动化滥用所构成的威胁日益相互关联且普遍存在。

何为更有效的应对措施

Palo Alto Networks 表示正在以 Operation Lunar Peek 的名义跟踪最初对漏洞的零日漏洞利用,他们正在被武器化以实现命令执行并将恶意软件(例如基于 PHP 的 Web shell)投放到被黑客入侵的防火墙上。

网络安全供应商还说,针对安全漏洞的网络攻击可能会在将它们组合的漏洞利用可用后升级。为此,以中等到高度的置信度评估链接 CVE-2024-0012 和 CVE-2024-9474 的功能性漏洞是否公开可用,这将允许更广泛的威胁活动。此外,他们已经观察到手动和自动扫描活动,用户需尽快应用最新的修复程序,并根据推荐的最佳实践部署指南安全访问管理界面。尤其包括限制仅受信任的内部 IP 地址的访问,以防止来自 Internet 的外部访问。

用于丢弃Sliver和Crypto矿工的PAN缺陷

Palo Alto Networks 最新披露,受感染设备的实际数量小于报告的数量,因为后者仅显示暴露于Internet 管理界面的防火墙。除了与受影响的客户合作外,其大多数客户已经遵循行业最佳实践并保护其管理界面,只有不到 0.5% 的防火墙具有暴露于互联网的界面。

云安全公司 Wiz透露,在一周前发布有效的概念验证POC 漏洞后,在野外的漏洞利用尝试“急剧增加”,并且观察到威胁行为者将漏洞武器化,以投放 Web shell、Sliver 植入物和加密矿工。

原文始发于微信公众号(FreeBuf):超2000 台 Palo Alto Networks 设备遭入侵

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年11月26日00:04:29
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   超2000 台 Palo Alto Networks 设备遭入侵https://cn-sec.com/archives/3436766.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息