Специалисты по информационной безопасности выявили масштабную кампанию, направленную на эксплуатацию критических уязвимостей в брандмауэрах Palo Alto Networks. Атакующие активно используют две недавно обнаруженные уязвимости нулевого дня, что привело к компрометации около 2000 устройств по всему миру.
Анализ уязвимостей и механизмы атаки
Первая уязвимость (CVE-2024-0012) с критическим рейтингом 9,3 по шкале CVSS позволяет злоумышленникам осуществить обход аутентификации через веб-интерфейс PAN-OS, получая несанкционированный доступ с правами администратора. Вторая уязвимость (CVE-2024-9474) с рейтингом 6,9 CVSS обеспечивает повышение привилегий до уровня root в операционной системе устройств.
Хронология обнаружения и реагирования
Несмотря на то, что публичное раскрытие информации о CVE-2024-9474 состоялось только 18 ноября 2024 года, компания Palo Alto Networks проактивно информировала клиентов о потенциальных рисках в начале ноября. Специалисты компании подтверждают наличие работающей цепочки эксплоитов, позволяющей злоумышленникам разворачивать вредоносное ПО на скомпрометированных устройствах.
Масштаб угрозы и текущая ситуация
По данным исследовательской группы Shadowserver, в настоящее время в интернете обнаружено более 2700 уязвимых устройств с установленной системой PAN-OS. Особую обеспокоенность вызывает тот факт, что атакующие используют анонимные VPN-сервисы для маскировки своей активности, что существенно затрудняет их идентификацию и блокировку.
Рекомендации по защите
Эксперты Palo Alto Networks настоятельно рекомендуют администраторам предпринять следующие меры безопасности: ограничить доступ к интерфейсам управления устройств, усилить контроль доступа к внутренней сети и незамедлительно установить все доступные обновления безопасности. Особое внимание следует уделить мониторингу подозрительной активности и аудиту текущих настроек безопасности.
Учитывая серьезность ситуации и продолжающийся рост числа скомпрометированных устройств, критически важно, чтобы организации, использующие продукты Palo Alto Networks, приняли немедленные меры по защите своей инфраструктуры. Промедление с установкой обновлений безопасности может привести к серьезным последствиям для корпоративной безопасности.
