PAN-OS Firewalls van Palo Alto Networks zijn getroffen door een tweetal zero-day kwetsbaarheden. Ze worden door hackers inmiddels actief misbruikt. Palo Alto adviseert beheerders om hun beheerinterfaces voor deze firewalls geen toegang te geven tot het interne bedrijfsnetwerk.
Palo Alto Networks geeft aan dat hackers op dit moment een tweetal zero-day kwetsbaarheden misbruiken. Dit geldt voor zijn op PAN-OS gebaseerde firewalls.
In de eerste plaats gaat het hierbij om CVE-2024-0012 dat een authenticatie-bypass veroorzaakt. Het probleem doet zich meer specifiek voor bij de web interface voor het beheer van PAN-OS. Hackers kunnen deze kwetsbaarheid misbruiken om admin-privileges te krijgen.
De tweede bekende zero-day kwetsbaarheid, CVE-2024-9474, zorgt binnen de firewalls voor privilege-escalatie, waardoor hackers met root-privileges commando’s op de aangevallen firewall kunnen uitvoeren.
Palo Alto Networks onderzoekt de kwetsbaarheden nu en waarschuwt klanten dat beide kwetsbaarheden op dit moment al worden misbruikt. De kwetsbaarheden zou een ‘beperkt’ aantal web interfaces aanvallen en inmiddels zouden hackers malware installeren. Mogelijk is een zogenoemde ‘chain exploit’ al beschikbaar. De rust is dus niet wedergekeerd met een enkele patch, het controleren van de eigen omgevingen op aanhoudende dreigingen is nodig.
2.700 mogelijk kwetsbare firewalls
De hackers zouden al vanaf 18 november actief zijn vanaf IP-adressen die bekend staan voor proxy/tunnel-verkeer van anonieme VPN-diensten. Unit 42 van Palo Alto Networks gaat ervan uit dat een functionele exploit voor beide kwetsbaarheden nu publiek beschikbaar is, zodat meer kwaadaardige acties kunnen worden verwacht.
Klanten kunnen voor een fix updaten naar de laatste versies van PAN-OS. Daarnaast geeft de securityspecialist beheerders het dringende advies de toegang tot interne bedrijfsnetwerken voor hun PAN-OS web interfaces te beperken.
ShadowServer houdt inmiddels 2.700 voor deze kwetsbaarheden gevoelige PAN-OS firewalls in de gaten.
Eerdere kwetsbaarheden
De nu bekend gemaakte kwetsbaarheden in de PAN-OS firewalls zijn niet de eerste waarmee Palo Alto Networks dit jaar te maken kreeg. Begin deze maand werd gewaarschuwd voor de CVE-2024-5910 authenticatie-kwetsbaarheid voor de Palo Alto Networks Expedition firewallconfiguratie migratie-tool.
In de maand juli van dit jaar werd een fout gepatcht die kon worden misbruikt voor het resetten van adim-inloggegevens voor online PAN Expedition servers.
In april 2024 werd nog ook een patch uitgebracht voor de zeer kritieke en actief misbruikte kwetsbaarheid CVE-2024-3400 voor PAN-OS firewalls. Deze kwetsbaarheid had gevolgen voor meer dan 82.000 firewalls.
Lees ook: Exploit in Palo Alto’s PAN-OS actief gebruikt door kwaadwillende hackersgroep