Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Kamis memperingatkan bahwa dua kelemahan lagi yang berdampak pada Ekspedisi Jaringan Palo Alto telah dieksploitasi secara aktif.
Selain itu, pihaknya telah menambahkan kerentanan ke dalam katalog Kerentanan yang Diketahui dan Dieksploitasi (KEV), sehingga lembaga Cabang Eksekutif Sipil Federal (FCEB) harus menerapkan pembaruan yang diperlukan paling lambat tanggal 5 Desember 2024.
Kelemahan keamanan tercantum di bawah ini –
- CVE-2024-9463 (Skor CVSS: 9.9) – Kerentanan Injeksi Perintah OS Ekspedisi Jaringan Palo Alto
- CVE-2024-9465 (Skor CVSS: 9.3) – Kerentanan Injeksi SQL Ekspedisi Jaringan Palo Alto
Eksploitasi kerentanan yang berhasil dapat memungkinkan penyerang yang tidak diautentikasi menjalankan perintah OS sewenang-wenang sebagai root pada alat migrasi Ekspedisi atau mengungkapkan konten database-nya.
Hal ini kemudian dapat membuka jalan bagi pengungkapan nama pengguna, kata sandi teks jelas, konfigurasi perangkat, dan kunci API perangkat firewall PAN-OS, atau membuat dan membaca file arbitrer pada sistem yang rentan.
Palo Alto Networks mengatasi kekurangan ini sebagai bagian dari pembaruan keamanan yang dirilis pada 9 Oktober 2024. Sejak saat itu, perusahaan telah merevisi saran aslinya untuk mengakui bahwa mereka “mengetahui laporan dari CISA bahwa terdapat bukti eksploitasi aktif untuk CVE-2024-9463 dan CVE-2024-9465.”
Meskipun demikian, tidak banyak yang diketahui tentang bagaimana kerentanan ini dieksploitasi, oleh siapa, dan seberapa luas serangan ini.
Perkembangan ini juga terjadi seminggu setelah CISA diberitahu tentang eksploitasi aktif CVE-2024-5910 (skor CVSS: 9.3), kelemahan kritis lainnya yang memengaruhi Ekspedisi.
Jaringan Palo Alto Mengonfirmasi Cacat Baru Dalam Serangan Terbatas
Palo Alto Networks juga mengkonfirmasi bahwa mereka telah mendeteksi kerentanan eksekusi perintah jarak jauh yang tidak diautentikasi yang digunakan untuk melawan sebagian kecil antarmuka manajemen firewall yang terekspos ke internet, dan mendesak pelanggan untuk mengamankannya.
“Palo Alto Networks telah mengamati aktivitas ancaman yang mengeksploitasi kerentanan eksekusi perintah jarak jauh yang tidak diautentikasi terhadap sejumlah antarmuka manajemen firewall yang terekspos ke internet,” tambahnya.
Perusahaan tersebut, yang sedang menyelidiki aktivitas jahat dan telah memberikan skor CVSS pada kerentanan tersebut sebesar 9,3 (tanpa pengenal CVE), juga mengatakan bahwa pihaknya “bersiap untuk merilis perbaikan dan tanda-tanda pencegahan ancaman sedini mungkin.”