Badan Keamanan Siber dan Infrastruktur AS (CISA) pada hari Kamis menambahkan kelemahan keamanan kritis yang berdampak pada Ekspedisi Jaringan Palo Alto ke dalam katalog Kerentanan yang Diketahui Tereksploitasi (KEV), dengan mengutip bukti adanya eksploitasi aktif.
Kerentanannya, yang dilacak sebagai CVE-2024-5910 (skor CVSS: 9.3), berkaitan dengan kasus hilangnya autentikasi di alat migrasi Ekspedisi yang dapat menyebabkan pengambilalihan akun admin.
“Ekspedisi Palo Alto mengandung kerentanan autentikasi yang hilang yang memungkinkan penyerang dengan akses jaringan mengambil alih akun admin Ekspedisi dan berpotensi mengakses rahasia konfigurasi, kredensial, dan data lainnya,” kata CISA dalam peringatannya.
Kekurangan ini berdampak pada semua versi Ekspedisi sebelum versi 1.2.92, yang dirilis pada Juli 2024 untuk mengatasi masalah tersebut.
Saat ini tidak ada laporan tentang bagaimana kerentanan tersebut dijadikan senjata dalam serangan di dunia nyata, namun Palo Alto Networks telah merevisi saran aslinya untuk mengakui bahwa mereka “mengetahui laporan dari CISA bahwa terdapat bukti eksploitasi aktif.”
Juga ditambahkan ke katalog KEV adalah dua kelemahan lainnya, termasuk kerentanan eskalasi hak istimewa dalam komponen Kerangka Android (CVE-2024-43093) yang diungkapkan Google minggu ini sebagai “eksploitasi terbatas dan bertarget.”
Cacat keamanan lainnya adalah CVE-2024-51567 (skor CVSS: 10.0), sebuah kelemahan kritis yang mempengaruhi CyberPanel yang memungkinkan penyerang jarak jauh yang tidak diautentikasi untuk menjalankan perintah sebagai root. Masalah ini telah teratasi di versi 2.3.8.
Pada akhir Oktober 2023, diketahui bahwa kerentanan tersebut dieksploitasi secara massal oleh pelaku jahat untuk menyebarkan ransomware PSAUX di lebih dari 22.000 instance CyberPanel yang terpapar internet, menurut LeakIX dan seorang peneliti keamanan yang menggunakan alias online Gi7w0rm.
LeakIX juga mencatat bahwa tiga kelompok ransomware berbeda dengan cepat memanfaatkan kerentanan tersebut, dengan file dienkripsi beberapa kali dalam beberapa kasus.
Badan-badan Cabang Eksekutif Sipil Federal (FCEB) telah direkomendasikan untuk memulihkan kerentanan yang teridentifikasi pada tanggal 28 November 2024, untuk mengamankan jaringan mereka dari ancaman aktif.