Witold Kepinski - 22 november 2024

Palo Alto Networks meldt dat aantal devices zijn gebreached

Palo Alto Networks en Unit 42 zijn bezig met het volgen van een beperkte set exploitatieactiviteiten gerelateerd aan CVE-2024-0012 en CVE-2024-9474. We werken samen met externe onderzoekers, partners en klanten om informatie transparant en snel te delen.

Palo Alto Networks meldt dat aantal devices zijn gebreached image

Palo Alto Networks meldt: 'Er zijn oplossingen voor beide kwetsbaarheden beschikbaar. Raadpleeg de Palo Alto Networks Security Advisories ( CVE-2024-0012 , CVE-2024-9474 ) voor meer informatie over aanbevolen oplossingen en getroffen producten.

Een authenticatie-bypass in Palo Alto Networks PAN-OS-software ( CVE-2024-0012 ) stelt een niet-geverifieerde aanvaller met netwerktoegang tot de beheerinterface in staat om PAN-OS-beheerdersrechten te verkrijgen. Dit kan een tegenstander in staat stellen om administratieve handelingen uit te voeren, de configuratie te manipuleren of andere geverifieerde privilege-escalatiekwetsbaarheden zoals CVE-2024-9474 te exploiteren .

Het risico op deze problemen wordt aanzienlijk verminderd als u de toegang tot de beheerwebinterface beveiligt door de toegang te beperken tot alleen vertrouwde interne IP-adressen volgens onze aanbevolen implementatierichtlijnen.

PAN-OS

Palo Alto Networks heeft klanten actief gemonitord en met hen samengewerkt om het zeer kleine aantal PAN-OS-apparaten met beheerwebinterfaces die zijn blootgesteld aan het internet of andere niet-vertrouwde netwerken, te identificeren en verder te minimaliseren.

Palo Alto Networks heeft dreigingsactiviteit geïdentificeerd die mogelijk misbruik maakt van CVE-2024-0012 en CVE-2024-9474 tegen een beperkt aantal beheerwebinterfaces. Palo Alto Networks blijft aanvullende dreigingsactiviteit volgen na de openbare release van technische inzichten en artefacten door externe onderzoekers vanaf 19 november 2024. De sectie Huidige reikwijdte van de aanval bevat meer informatie over de waargenomen activiteit. Informatie over waargenomen indicatoren en de omliggende context is beschikbaar in de sectie Indicatoren van compromis , terwijl een completere lijst met IOC's beschikbaar is op de Unit42-Timely-Threat-Intel GitHub.

We volgen de eerste exploitatie van deze kwetsbaarheid onder de naam Operation Lunar Peek.

Beheerinterface

Als u dat nog niet hebt gedaan, raadt Palo Alto Networks klanten ook ten zeerste aan om de toegang tot uw beheerinterface te beveiligen volgens onze aanbevolen best practice-implementatierichtlijnen . U moet met name de toegang tot de beheerinterface beperken tot alleen vertrouwde interne IP-adressen om externe toegang vanaf internet te voorkomen. De overgrote meerderheid van de firewalls volgt Palo Alto Networks en de best practices van de industrie al.

Raadpleeg de beveiligingsadviezen van Palo Alto Networks ( CVE-2024-0012 , CVE-2024-9474 ) voor actuele informatie over de betrokken producten en versies, evenals meer richtlijnen voor herstel.

Voor hulp met betrekking tot een mogelijke inbreuk, neem contact op met Palo Alto Networks support . Unit 42 Retainer-klanten kunnen rechtstreeks contact opnemen met Unit 42.'

Axians 12/11/2024 t/m 26/11/2024 BN+BW