Palo Alto Networks telah merilis indikator kompromi (IoC) baru sehari setelah vendor keamanan jaringan tersebut mengonfirmasi bahwa kerentanan zero-day baru yang berdampak pada antarmuka manajemen firewall PAN-OS telah dieksploitasi secara aktif.
Untuk itu, perusahaan mengatakan pihaknya mengamati aktivitas jahat yang berasal dari bawah alamat IP dan menargetkan alamat IP antarmuka web manajemen PAN-OS yang dapat diakses melalui internet –
- 136.144.17[.]*
- 173.239.218[.]251
- 216.73.162[.]*
Namun perusahaan tersebut memperingatkan bahwa alamat IP ini mungkin mewakili “VPN pihak ketiga dengan aktivitas pengguna sah yang berasal dari IP ini ke tujuan lain.”
Peringatan Palo Alto Networks yang diperbarui menunjukkan bahwa kelemahan tersebut dieksploitasi untuk menyebarkan web shell pada perangkat yang disusupi, sehingga memungkinkan pelaku ancaman mendapatkan akses jarak jauh yang persisten.
Kerentanannya, yang belum diberi pengidentifikasi CVE, memiliki skor CVSS 9,3, yang menunjukkan tingkat keparahan kritis. Ini memungkinkan eksekusi perintah jarak jauh yang tidak diautentikasi.
Menurut perusahaan, kerentanan tersebut tidak memerlukan interaksi pengguna atau hak istimewa untuk mengeksploitasinya, dan kompleksitas serangannya dianggap “rendah.”
Meskipun demikian, tingkat keparahan kelemahan ini akan turun ke tingkat yang tinggi (skor CVSS: 7.5) jika akses ke antarmuka manajemen dibatasi pada kumpulan alamat IP yang terbatas, sehingga pelaku ancaman harus mendapatkan akses istimewa ke IP tersebut terlebih dahulu.
Pada tanggal 8 November 2024, Palo Alto Networks mulai menyarankan pelanggan untuk mengamankan antarmuka manajemen firewall mereka di tengah laporan kelemahan eksekusi kode jarak jauh (RCE). Sejak itu telah dikonfirmasi bahwa kerentanan misterius telah disalahgunakan terhadap “sejumlah kecil” kasus.
Saat ini belum ada rincian mengenai bagaimana kerentanan tersebut terungkap, pelaku ancaman di balik eksploitasi, dan target serangan tersebut. Produk Prisma Access dan Cloud NGFW tidak terpengaruh oleh kelemahan ini.
Patch untuk kerentanan tersebut belum dirilis, sehingga pengguna harus segera mengambil langkah untuk mengamankan akses ke antarmuka manajemen, jika belum.
Peringatan ini muncul karena tiga kelemahan kritis yang berbeda dalam Ekspedisi Jaringan Palo Alto (CVE-2024-5910, CVE-2024-9463, dan CVE-2024-9465) telah dieksploitasi secara aktif, menurut Badan Keamanan Siber dan Infrastruktur AS (CISA). ). Pada tahap ini, tidak ada bukti yang menunjukkan bahwa kegiatan tersebut saling berkaitan.
(Ini adalah cerita yang berkembang. Silakan periksa kembali untuk pembaruan lebih lanjut.)