A Palo Alto Networks compartilhou orientações de correção para uma falha crítica de segurança divulgada recentemente que afeta o PAN-OS e que está sob exploração ativa.
A vulnerabilidade, rastreada como CVE-2024-3400 (pontuação CVSS: 10.0), pode ser transformada em arma para obter execução remota de comando shell não autenticada em dispositivos suscetíveis. Ele foi abordado em diversas versões do PAN-OS 10.2.x, 11.0.x e 11.1.x.
Há evidências que sugerem que o problema foi explorado como dia zero desde pelo menos 26 de março de 2024, por um cluster de ameaças rastreado como UTA0218.
A atividade, codinome Operação MidnightEclipse, envolve o uso da falha para eliminar um backdoor baseado em Python chamado UPSTYLE, que é capaz de executar comandos transmitidos por meio de solicitações especialmente criadas.
As invasões não foram vinculadas a um ator ou grupo de ameaça conhecido, mas suspeita-se que seja uma equipe de hackers apoiada pelo Estado, dada a habilidade comercial e a vitimologia observada.
O mais recente conselho de remediação oferecido pela Palo Alto Networks baseia-se na extensão do comprometimento –
- Sonda de nível 0: Tentativa de exploração malsucedida – Atualização para o hotfix fornecido mais recente
- Teste de nível 1: Evidência de vulnerabilidade sendo testada no dispositivo, incluindo a criação de um arquivo vazio no firewall, mas nenhuma execução de comandos não autorizados – Atualização para o hotfix fornecido mais recente
- Exfiltração potencial de nível 2: Sinais onde arquivos como “running_config.xml” são copiados para um native acessível por meio de solicitações da Net – Atualize para o hotfix fornecido mais recente e execute uma redefinição de dados privados
- Acesso interativo de nível 3: Evidência de execução de comandos interativos, como a introdução de backdoors e outros códigos maliciosos – Atualize para o hotfix fornecido mais recente e execute uma redefinição de fábrica
“Realizar uma redefinição de dados privados elimina os riscos de potencial uso indevido dos dados do dispositivo”, disse Palo Alto Networks. “Uma redefinição de fábrica é recomendada devido a evidências de atividades mais invasivas de agentes de ameaças.”
