吳明宜Palo Alto Networks 驚爆風險等級 10 的安全漏洞 影響多項產品
Palo Alto Networks 周末發佈安全公告警告 VPN 軟體指令注入漏洞遭到駭客濫用,影響多項產品,Palo Alto Networks 緊急趕製熱修補程式 (hotfix),並預告會有更新軟體。
這項漏洞編號 CVE-2024-3400,可讓非授權攻擊者利用系統根存取權限執行惡意程式碼,風險值達到最高等級的 10.0。
這項零時差漏洞是位於 Palo Alto Networks 的產品的 PAN-OS 10.2、PAN-OS 11.0 和 PAN-OS 11.1 的防火牆功能,可能是 GlobalProtect 閘道及裝置遙感 (telemetry) 功能。Palo Alto Networks 在周末的安全公告中呼籲用戶先採取緩衝方法(包含在 Threat ID 95187)以阻擋攻擊,本周才會陸續釋出修補程式。
發現這項漏洞的資安業者 Volexity 表示,有一個被命名為 UTA 0218 的組織利用該漏洞發動了有限度的攻擊。資安業者於 3 月 26 日偵測到駭客針對 Palo Alto 防火牆發出 0 byte 檔案來測試漏洞。在 4 月 7 日的失敗嘗試後,4 月 10 日,研究人員發現 UTA0218 成功在其客戶防火牆成功植入後門程式,之後又部署了前所未見的惡意程式碼。這後門程式是以 Python 語言寫成,讓攻擊者可以特製網路呼叫,在受害裝置上執行其他指令。
研究人員尚未能判斷攻擊者是否為先前已知的駭客組織,但從攻擊目標,以及攻擊所需資源判定,這群人「能力高強」,可能獲得國家支持。
該公司警告,由於廠商即將釋出修補程式,攻擊空窗期變短,可能促使 UTA0218,甚至其他駭客組織未來幾天利用 CVE-2024-3400 發動大規模行動,一如最近 Ivanti、Atlassian、Citrix、Progress 等遭到的攻擊。
Palo Alto 已在 4/14 釋出 PAN-OS 10.2 一款 hotfix(10.2.9-h1),其餘的將在 4/15 到 4/17 陸續釋出。在此之前,用戶最好先啟用緩衝方法(包含在 Threat ID 95187),或是暫時關閉裝置遙感功能以防範攻擊。