A Palo Alto Networks lançou hotfixes para solucionar uma falha de segurança de gravidade máxima que afeta o software program PAN-OS que está sob exploração ativa em estado selvagem.
Rastreada como CVE-2024-3400 (pontuação CVSS: 10,0), a vulnerabilidade crítica é um caso de injeção de comando no recurso GlobalProtect que um invasor não autenticado poderia usar como arma para executar código arbitrário com privilégios de root no firewall.
As correções para a falha estão disponíveis nas seguintes versões –
- PAN-OS 10.2.9-h1
- PAN-OS 11.0.4-h1 e
- PAN-OS 11.1.2-h3
Espera-se que patches para outras versões de manutenção comumente implantadas sejam lançados nos próximos dias.
“Este problema é aplicável apenas aos firewalls PAN-OS 10.2, PAN-OS 11.0 e PAN-OS 11.1 configurados com gateway GlobalProtect ou portal GlobalProtect (ou ambos) e telemetria de dispositivo habilitada”, esclareceu a empresa em seu comunicado atualizado.
Ele também disse que, embora os firewalls Cloud NGFW não sejam afetados pelo CVE-2024-3400, versões específicas do PAN-OS e configurações de recursos distintos de VMs de firewall implantadas e gerenciadas por clientes na nuvem são afetadas.
As origens exatas do agente da ameaça que explora a falha são atualmente desconhecidas, mas a Unidade 42 da Palo Alto Networks está rastreando a atividade maliciosa sob o nome de Operação MidnightEclipse.
A Volexity, que o atribuiu a um cluster denominado UTA0218, disse que o CVE-2024-3400 foi aproveitado desde pelo menos 26 de março de 2024, para fornecer um backdoor baseado em Python chamado UPSTYLE no firewall que permite a execução de comandos arbitrários by way of especialmente solicitações elaboradas.
Não está claro até que ponto a exploração tem sido generalizada, mas a empresa de inteligência de ameaças disse ter “evidências de atividade potencial de reconhecimento envolvendo uma exploração mais generalizada destinada a identificar sistemas vulneráveis”.
Nos ataques documentados até o momento, o UTA0218 foi observado implantando cargas adicionais para lançar shells reversos, exfiltrar dados de configuração do PAN-OS, remover arquivos de log e implantar a ferramenta de tunelamento Golang chamada GOST (GO Easy Tunnel).
Nenhum outro malware de acompanhamento ou métodos de persistência foram implantados nas redes das vítimas, embora não se saiba se é intencional ou devido à detecção e resposta precoces.
