Oltre 2.000 firewall di Palo Alto Networks sotto attacco, sfruttando due vulnerabilità zero-day recentemente corrette. Queste vulnerabilità, identificate come CVE-2024-0012 e CVE-2024-9474, hanno permesso agli hacker di ottenere privilegi di amministratore e di eseguire comandi con privilegi di root sui dispositivi compromessi.
Dettagli delle vulnerabilità
- CVE-2024-0012: questa vulnerabilità consente un bypass dell’autenticazione nell’interfaccia web di gestione di PAN-OS, permettendo agli attaccanti remoti di ottenere accesso amministrativo.
- CVE-2024-9474: questa falla riguarda l’escalation dei privilegi, consentendo agli attaccanti di eseguire comandi con privilegi elevati.
Palo Alto Networks ha avvisato i propri clienti l’8 novembre riguardo a potenziali exploit e ha confermato che gli attacchi sono stati originati da indirizzi IP noti per l’uso di servizi VPN anonimi. Nonostante l’azienda affermi che gli attacchi colpiscano solo un numero limitato di firewall PAN-OS, il monitoraggio della piattaforma Shadowserver ha rivelato che oltre 2.700 dispositivi vulnerabili sono stati identificati e circa 2.000 sono stati compromessi.
Raccomandazioni per la sicurezza
Il Cybersecurity and Infrastructure Security Agency (CISA) ha incluso entrambe le vulnerabilità nel suo Catalogo delle Vulnerabilità Sfruttate Conosciute, imponendo alle agenzie federali di applicare le patch entro il 9 dicembre. Palo Alto Networks ha esortato i propri clienti a limitare l’accesso alle interfacce di gestione dei firewall, raccomandando di restringere l’accesso solo agli indirizzi IP interni fidati.
Gli utenti dei firewall Palo Alto e le aziende che lo sfruttano nelle proprie strutture, devono agire rapidamente per mitigare i rischi associati a queste vulnerabilità e seguire le linee guida raccomandate per la sicurezza delle loro reti.
