شرکت امنیت سایبری Palo Alto Networks، هشتم نوامبر ۲۰۲۴ به مشتریان خود هشدار داد که دسترسی به فایروالهای نسل بعدی یا next-generation این شرکت را به دلیل آسیب پذیری بالقوه اجرای کد از راه دور در اینترفیس مدیریت PAN-OS محدود کنند.
Palo Alto همچنین توصیه کرده است که مشتریان مطمئن شوند دسترسی به اینترفیس مدیریتی آنها مطابق با بهترین دستورالعملهای استقرار به درستی پیکربندی شده است. همچنین دسترسی به اینترفیس مدیریت فقط باید از طریق IPهای داخلی قابل اطمینان امکان پذیر باشد و نه از طریق اینترنت.
لازم به ذکر است که اکثریت قریب به اتفاق فایروالها در حال حاضر از بهترین روشهای Palo Alto و دیگر برندها پیروی میکنند. به گفته Palo Alto هنوز اطلاعات بیشتری در مورد این نقص امنیتی و سوء استفاده فعال از آن وجود ندارد.
کاربران Cortex Xpanse و Cortex XSIAM میتوانند با ماژول ASM، نمونههای متصل به اینترنت را با بررسی هشدارهای ایجاد شده توسط قانون سطح حمله ورود به سیستم مدیریت فایروال Palo Alto Networks مورد بررسی قرار دهند.
با توجه به یک سند پشتیبانی جداگانه در وب سایت جامع Palo Alto Networks، مدیران همچنین میتوانند یک یا چند مورد از اقدامات زیر را به منظو ایمنی بیشتر به کار گیرند:
- اینترفیس مدیریت را در یک VLAN مدیریتی اختصاصی قرار دهید.
- از سرورهای jump برای دسترسی به IP مدیریتی استفاده کنید. کاربران میبایست قبل از ورود به فایروال، احراز هویت شوند و سپس به سرور jump متصل گردند.
- آدرسهای IP ورودی به اینترفیس مدیریتی را محدود کنید، این امر با جلوگیری از دسترسی آدرسهای IP غیرمنتظره، سطح حمله را کاهش میدهد و از دسترسی با استفاده از دادههای لاگین ربوده شده جلوگیری میکند.
- فقط ارتباطات ایمن مانند SSH، HTTPS را مُجاز کنید.
- فقط PING را برای تست اتصال به اینترفیس مُجاز کنید.
CISA نیز هفتم اکتبر در مورد حملات مداوم با سوء استفاده از یک آسیب پذیری مهم عدم احراز هویت در Palo Alto Networks Expedition که با شناسه CVE-2024-5910 دنبال میشود، هشدار داد.
Palo Alto Networks Expedition، یک ابزار مهاجرت یا انتقال (migration ) است که میتواند به تبدیل پیکربندی فایروال از Checkpoint، سیسکو و سایر فروشندگان به PAN-OS کمک کند.
این نقص امنیتی در ماه جولای پچ شده است و هکرها میتوانند از راه دور از آن برای بازنشانی دادههای لاگین admin برنامه در سرورهای Expedition متصل به اینترنت استفاده کنند. سوء استفاده از CVE-2024-5910 میتواند منجر به تصاحب حساب admin و احتمالاً دسترسی به دادههای حساس شود.
در حالی که آژانس امنیت سایبری هنوز جزئیات بیشتری در مورد این حملات ارائه نکرده است، زک هانلی، محقق آسیبپذیری Horizon3.ai، یک اکسپلویت PoC را در ماه اکتبر منتشر کرد که میتواند به زنجیر کردن CVE-2024-5910 با یک آسیب پذیری تزریق دستور با شناسه CVE-2024-9464 کمک کند.
به مدیرانی که نمیتوانند فوراً به روزرسانیهای امنیتی را برای مسدود نمودن حملات دریافتی نصب کنند، توصیه میشود دسترسی به شبکه Expedition را برای کاربران، میزبانها و یا شبکههای مجاز محدود کنند.
تمامی کلیدهای API ، نامهای کاربری و گذرواژههای Expedition میبایست پس از ارتقاء به نسخه ثابت Expedition تغییر یابند.
آژانس امنیت سایبری ایالات متحده، آسیب پذیری CVE-2024-5910 را به لیست کاتالوگ آسیب پذیریهای شناخته شده خود اضافه کرده است و به آژانسهای فدرال دستور داده تا سیستمهای خود را ظرف سه هفته آینده( تا 28 نوامبر) در برابر حملات ایمن سازنند.
