.
A Palo Alto Networks (PAN) finalmente lançou um identificador CVE e um patch para a exploração de dia zero que causou tanto rebuliço na semana passada.
O fornecedor divulgou detalhes de duas vulnerabilidades exploradas como zero-day. O primeiro, rastreado como CVE-2024-0012, um bug de desvio de autenticação, tem uma classificação de gravidade de 9,3 (crítica), e os usuários são incentivados a atualizar para uma das muitas versões de manutenção corrigidas do PAN-OS com o mais alto grau de urgência.
O segundo, CVE-2024-9474, carrega uma classificação de severidade menos severa de 6,9 (médio) e é classificado como um bug de escalonamento de privilégios. Como o primeiro bug, ele também afeta a interface de gerenciamento do PAN-OS, mas também permite que invasores obtenham acesso de administrador e executem ações como root.
Ambos os comunicados para CVE-2024-0012 e CVE-2024-9474 detalham as versões específicas que são consideradas seguras. Eles contêm uma lista das versões mais recentes disponíveis e um número limitado de iterações anteriores que são implantadas com mais frequência.
A PAN alertou os clientes na quinta-feira que estava ciente de um bug de execução remota de comando sendo explorado ativamente em várias interfaces de firewall expostas publicamente e uma correção seria lançada em breve.
Enquanto os clientes aguardavam um patch adequado, a PAN implorou aos clientes que revogassem “imediatamente” o acesso público à interface de gerenciamento da Internet, caso ainda não o fizesse, e garantissem que apenas IPs internos confiáveis pudessem acessá-lo.
O risco de a exploração funcionar seria “bastante reduzido” se essas medidas fossem tomadas no final da semana passada.
Você notará que a descrição do CVE-2024-0012 – “desvio de autenticação” – difere do texto usado quando o PAN o provocou na semana passada como um problema de execução de comando.
Não está claro por que a definição mudou. No entanto, a admissão de que pode ser usado em conjunto com vulnerabilidades como CVE-2024-9474 sugere que o PAN descobriu que não foi a única causa da atividade de exploração detectada na semana passada. Em vez disso, poderia ter sido encadeado com o segundo dia zero, que permite que os invasores executem comandos.
Embora o PAN não tenha dito explicitamente que as duas vulnerabilidades estavam sendo encadeadas, os pesquisadores da watchTowr pareciam presumir que sim.
Eles escreveram em um blog: “Este é um par de bugs, descritos como ‘desvio de autenticação na interface web de gerenciamento’ e ‘escalonamento de privilégios’ respectivamente, sugerindo fortemente que eles são usados como uma cadeia para obter acesso de superusuário, um padrão que nós já vi antes com aparelhos de Palo Alto.”
Os pesquisadores acrescentaram que, para o CVE-2024-0012, eles conseguiram explorá-lo fornecendo ao cabeçalho x-pan-authcheck o valor “off” em uma solicitação HTTP, desativando a autenticação do dispositivo.
A partir daí, eles mostraram como o CVE-2024-9474 depende de PHP e poderia então ser explorado usando uma série de solicitações especialmente criadas, ficando aquém da publicação de um código de prova de conceito completo – ao contrário do estilo usual do watchTowr – permitindo assim que os administradores para aplicar os patches necessários.
“Então, mais um dispositivo de segurança reforçado de próxima geração super seguro apareceu”, comentou watchTowr.
“Desta vez é por causa daqueles incômodos backticks, combinados com a etapa supercomplicada de simplesmente pedir ao servidor para não verificar nossa autenticação via x-pan-authcheck.
“É incrível que esses dois bugs tenham entrado em um dispositivo de produção, incrivelmente permitido por meio da massa hackeada de invocações de script de shell que se escondem sob o capô de um dispositivo de Palo Alto.”
Na segunda-feira, o PAN afirmava estar a acompanhar um “conjunto limitado de atividades de exploração”, sem entrar em grandes detalhes sobre a escala a que as falhas estavam a ser atacadas, ou por quem, embora se dissesse que ainda estava em curso.
“A Palo Alto Networks identificou atividades de ameaças direcionadas a um número limitado de interfaces web de gerenciamento de dispositivos”, disse o fornecedor. “Esta atividade originou-se principalmente de endereços IP conhecidos pelo tráfego de proxy/túnel para serviços VPN anônimos.
“A Palo Alto Networks ainda está investigando e corrigindo ativamente essa atividade. A atividade pós-exploração observada inclui execução de comandos interativos e lançamento de malware, como webshells, no firewall.”
De acordo com a organização de segurança da Internet The Shadowserver Foundation, o número de dispositivos expostos rodando PAN-OS foi de 6.605. Isso se baseia em dados de 18 de novembro, os últimos disponíveis. O maior número de exposições ocorreu na Ásia, seguida de perto pela América do Norte. ®
.
