Sebanyak 2.000 perangkat Palo Alto Networks diperkirakan telah disusupi sebagai bagian dari kampanye yang menyalahgunakan kelemahan keamanan yang baru terungkap dan telah dieksploitasi secara aktif di alam liar.
Menurut statistik yang dibagikan oleh Shadowserver Foundation, sebagian besar infeksi dilaporkan di AS (554) dan India (461), diikuti oleh Thailand (80), Meksiko (48), Indonesia (43), Turki (41) , Inggris (39), Peru (36), dan Afrika Selatan (35).
Awal pekan ini, Censys mengungkapkan bahwa mereka telah mengidentifikasi 13.324 antarmuka manajemen firewall generasi berikutnya (NGFW) yang terekspos secara publik, dengan 34% dari eksposur ini berlokasi di AS. Namun, penting untuk dicatat bahwa tidak semua host yang terekspos ini rentan.
Kelemahan yang dimaksud, CVE-2024-0012 (skor CVSS: 9.3) dan CVE-2024-9474 (skor CVSS: 6.9), merupakan kombinasi dari bypass autentikasi dan eskalasi hak istimewa yang memungkinkan pelaku jahat melakukan tindakan jahat, termasuk memodifikasi konfigurasi dan mengeksekusi kode arbitrer.
Palo Alto Networks, yang melacak eksploitasi awal zero-day atas kelemahan tersebut dengan nama Operation Lunar Peek, mengatakan bahwa mereka dipersenjatai untuk mencapai eksekusi perintah dan menjatuhkan malware, seperti web shell berbasis PHP, pada firewall yang diretas.
Vendor keamanan jaringan juga telah memperingatkan bahwa serangan siber yang menargetkan kelemahan keamanan kemungkinan akan meningkat seiring tersedianya eksploitasi yang menggabungkan kelemahan tersebut.
Untuk mencapai tujuan tersebut, mereka mengatakan bahwa mereka “menilai dengan keyakinan sedang hingga tinggi bahwa rangkaian eksploitasi fungsional CVE-2024-0012 dan CVE-2024-9474 tersedia untuk umum, yang akan memungkinkan aktivitas ancaman yang lebih luas.”
Lebih lanjut disebutkan bahwa mereka telah mengamati aktivitas pemindaian manual dan otomatis, yang mengharuskan pengguna menerapkan perbaikan terbaru sesegera mungkin dan mengamankan akses ke antarmuka manajemen sesuai dengan pedoman penerapan praktik terbaik yang direkomendasikan.
Hal ini khususnya mencakup membatasi akses hanya ke alamat IP internal tepercaya untuk mencegah akses eksternal dari internet.