Η Palo Alto Networks προειδοποίησε τους πελάτες της να επιδιορθώσουν τις ευπάθειες ασφαλείας (με δημόσιο κώδικα εκμετάλλευσης) που μπορούν να επιτρέψουν σε εισβολείς firewall hijack.
Δείτε επίσης: SonicWall: Κρίσιμη ευπάθεια χρησιμοποιείται από ransomware συμμορίες
Οι ευπάθειες firewall hijack, εντοπίστηκαν στη λύση Expedition της Palo Alto Networks, η οποία βοηθά στη μετεγκατάσταση διαμορφώσεων από Checkpoint, Cisco ή άλλους υποστηριζόμενους προμηθευτές.
Μπορούν να χρησιμοποιηθούν για πρόσβαση σε ευαίσθητα δεδομένα, όπως διαπιστευτήρια χρήστη, που μπορούν να βοηθήσουν στην ανάληψη λογαριασμών διαχειριστή firewall.
Αυτά τα σφάλματα είναι ένας συνδυασμός command injection, ανακλώμενης δέσμης ενεργειών μεταξύ τοποθεσιών (XSS), αποθήκευσης καθαρού κειμένου ευαίσθητων πληροφοριών, έλλειψης ελέγχου ταυτότητας και τρωτών σημείων εισαγωγής SQL:
- CVE-2024-9463 (ευπάθεια εισαγωγής εντολών χωρίς έλεγχο ταυτότητας)
- CVE-2024-9464 (ευπάθεια έγχυσης με έλεγχο ταυτότητας)
- CVE-2024-9465 (ευπάθεια SQL injection χωρίς έλεγχο ταυτότητας)
- CVE-2024-9466 (διαπιστευτήρια καθαρού κειμένου αποθηκευμένα σε αρχεία καταγραφής)
- CVE-2024-9467 (χωρίς έλεγχο ταυτότητας ανακλώμενη ευπάθεια XSS)
Δείτε ακόμα: Hacker υποστηρίζει ότι παραβίασε το γαλλικό πάροχο τηλεπικοινωνιών SFR
Ο ερευνητής της Horizon3.ai, Zach Hanley, ο οποίος βρήκε και ανέφερε τέσσερα από τα σφάλματα, δημοσίευσε επίσης μια γραπτή ανάλυση βασικών αιτιών που περιγράφει λεπτομερώς πώς βρήκε τρία από αυτά τα ελαττώματα κατά την έρευνα για την ευπάθεια CVE-2024-5910 (αποκαλύφθηκε και διορθώθηκε στο Ιουλίου), το οποίο επιτρέπει στους εισβολείς να επαναφέρουν τα διαπιστευτήρια διαχειριστή της εφαρμογής Expedition.
Ο Hanley κυκλοφόρησε επίσης ένα proof-of-concept exploit που συνδέει το ελάττωμα επαναφοράς διαχειριστή CVE-2024-5910 με την ευπάθεια εισαγωγής εντολών CVE-2024-9464 για να αποκτήσει “μη επαληθευμένη” αυθαίρετη εκτέλεση εντολών σε ευάλωτους διακομιστές Expedition.
Η Palo Alto Networks λέει ότι, προς το παρόν, δεν υπάρχουν στοιχεία που να αποδεικνύουν ότι τα ελαττώματα ασφαλείας έχουν εκμεταλλευτεί σε επιθέσεις.
Δείτε επίσης: Palo Alto: Διορθώνει κρίσιμη ευπάθεια στο Expedition Migration Tool
Το firewall hijack, όπως αυτό της Palo Alto, είναι μια εξελιγμένη κυβερνοεπίθεση που περιλαμβάνει την απόκτηση μη εξουσιοδοτημένου ελέγχου στις ρυθμίσεις του firewall ενός δικτύου. Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται ευπάθειες εντός του τείχους προστασίας για να ανακατευθύνουν, να μπλοκάρουν ή να παρακολουθούν την κυκλοφορία μεταξύ εσωτερικών και εξωτερικών δικτύων. Αυτό μπορεί να οδηγήσει σε παραβιάσεις δεδομένων, μη εξουσιοδοτημένη πρόσβαση και πιθανή διακοπή των υπηρεσιών. Με το χειρισμό των κανόνων του τείχους προστασίας, οι εισβολείς μπορούν να δημιουργήσουν backdoors για μόνιμη πρόσβαση ή να παρακάμψουν εντελώς τα μέτρα ασφαλείας. Για να μετριαστεί ο κίνδυνος firewall hijack, είναι απαραίτητο να διατηρείτε ενημερωμένο το λογισμικό του τείχους προστασίας, να χρησιμοποιείτε ισχυρούς μηχανισμούς ελέγχου ταυτότητας και να ελέγχετε τακτικά την κυκλοφορία του δικτύου και τις διαμορφώσεις του τείχους προστασίας για τυχόν ανωμαλίες.
Πηγή: bleepingcomputer
