Palo Alto Networks已對PAN-OS 軟體零日漏洞CVE-2024-3400 (CVSS 評分: 10.0)發布緊急修補,並公告該漏洞正遭到惡意利用。
CVE-2024-3400 (CVSS 評分: 10.0) 的關鍵漏洞,是 GlobalProtect 功能中的命令注入漏洞,未經身分驗證的攻擊者可利用此漏洞在防火牆上以 root 權限執行任意程式碼。
已修補此問題的版本如下:
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1
- PAN-OS 11.1.2-h3
Palo Alto Networks預計在未來幾天內會發佈其他常用維護版本的修補程式。
Palo Alto Networks在更新的公告中表示,CVE-2024-3400僅適用於啟用 GlobalProtect Gateway或 GlobalProtect 入口網站 (或兩者皆啟用)且啟用裝置遙測功能的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 防火牆。
相關文章:利用中!Palo Alto Networks示警 PAN-OS存在零日漏洞
雖然 Cloud NGFW 不受 CVE-2024-3400 影響,但特定的 PAN-OS 版本以及特定的雲端組態設定仍會受影響。
目前尚不清楚利用此漏洞的威脅行為者的確切來源,但Palo Alto Networks的 Unit 42 團隊正以「MidnightEclipse 行動」追蹤CVE-2024-3400漏洞攻擊。
另一間資安公司Volexity 將這次的攻擊行動歸咎於 UTA0218 組織,並表示 CVE-2024-3400 自 2024 年 3 月 26 日起就一直被利用。UTA0218用在受影響的Palo Alto Networks防火牆上部署名為 UPSTYLE 的 Python後門程式,允許惡意駭客透過特製請求執行任意命令。
目前尚不清楚此漏洞的利用情況有多嚴重,但Volexity表示已「偵查到可能的攻擊活動,正在識別更多受影響的系統」。
據目前的記錄UTA0218 在受害系統上還部署了其他有效載荷,用於啟動反向 Shell、匯出 PAN-OS 設定資料、刪除記錄檔,以及部署名為 GOST (GO Simple Tunnel) 的 Golang 隧道工具。
目前於受害者網路中尚未發現有其他後續惡意軟體或持久潛伏。研究人員還在持續偵查。
本文轉載自thehackernews。