Palo Alto Networks đã chia sẻ hướng dẫn khắc phục cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng đến PAN-OS đã được khai thác tích cực.
Lỗ hổng, được theo dõi là CVE-2024-3400 (điểm CVSS: 10.0), có thể được vũ khí hóa để thực thi lệnh shell từ xa không được xác thực trên các thiết bị nhạy cảm. Nó đã được giải quyết trong nhiều phiên bản của PAN-OS 10.2.x, 11.0.x và 11.1.x.
Có bằng chứng cho thấy vấn đề này đã bị khai thác dưới dạng zero-day kể từ ít nhất là ngày 26/3/2024, bởi một cụm mối đe dọa được theo dõi là UTA0218.
Hoạt động này, có tên mã là Chiến dịch MidnightEclipse, đòi hỏi phải sử dụng lỗ hổng để thả một backdoor dựa trên Python có tên là UPSTYLE có khả năng thực hiện các lệnh được truyền qua các yêu cầu được chế tạo đặc biệt.
Các vụ xâm nhập không liên quan đến một tác nhân hoặc nhóm đe dọa đã biết, nhưng nó bị nghi ngờ là một nhóm hack được nhà nước hậu thuẫn dựa trên thương mại và nạn nhân được quan sát.
Lời khuyên khắc phục mới nhất do Palo Alto Networks đưa ra dựa trên mức độ thỏa hiệp -
- Đầu dò cấp 0: Nỗ lực khai thác không thành công - Cập nhật lên hotfix được cung cấp mới nhất
- Kiểm tra cấp độ 1: Bằng chứng về lỗ hổng đang được kiểm tra trên thiết bị, bao gồm việc tạo một tệp trống trên tường lửa nhưng không thực thi các lệnh trái phép - Cập nhật lên hotfix được cung cấp mới nhất
- Cấp độ 2 tiềm năng exfiltration: Dấu hiệu nơi các tệp như "running_config.xml" được sao chép vào vị trí có thể truy cập thông qua yêu cầu web - Cập nhật lên hotfix được cung cấp mới nhất và thực hiện Đặt lại Dữ liệu Riêng tư
- Truy cập tương tác cấp độ 3: Bằng chứng về việc thực thi lệnh tương tác, chẳng hạn như giới thiệu backdoor và mã độc hại khác - Cập nhật lên hotfix được cung cấp mới nhất và thực hiện Khôi phục cài đặt gốc
"Thực hiện thiết lập lại dữ liệu cá nhân giúp loại bỏ rủi ro lạm dụng dữ liệu thiết bị tiềm ẩn", Palo Alto Networks cho biết. "Nên khôi phục cài đặt gốc do bằng chứng về hoạt động của tác nhân đe dọa xâm lấn nhiều hơn."