2min

Een kritieke kwetsbaarheid in de PAN-OS Firewall-software van Palo Alto Networks wordt actief geëxploiteerd en gebruikt voor aanvallen. Het lek is al op 10 april ontdekt, maar uiteindelijk bleken tienduizenden actieve firewalls kwetsbaar. Updaten naar de laatste versie is het dringende advies voor gebruikers.

Door deze fout kunnen kwaadwillenden in gecompromitteerde systemen door middel van code injection willekeurige code uitvoeren als root. Kwetsbare versies van het OS zijn PAN-OS 10.2, PAN-OS 11.0 en PAN-OS 11.1. Dan moet wel GlobalProtect gateway of GlobalProtect portal (of beide) zijn ingeschakeld, evenals telemetrie. De kwetsbaarheid heeft code CVE-2024-3400 gekregen en een CVSS score van 10.

Sinds vorige maand als zero-day misbruikt

Via de exploit kunnen aanvallers Upstyle-malware installeren om daarmee interne netwerken te infiltreren en gegevens buit te maken. Palo Alto Networks heeft hotfixes uitgebracht om de blootgestelde firewalls te beveiligen, al wordt de kwetsbaarheid als sinds 26 maart als zero-day misbruikt door een kwaadaardige groep bekend als UTA0218. Waarschijnlijk betreft het een zogeheten ‘state-sponsored actor’. Het lek is op 10 april ontdekt door cybersecurity-firma Volexity.

Dagelijks zijn meer dan 156.000 PAN-OS firewalls online, waarvan er 82.000 kwetsbaar zijn voor de exploit, meldt BleepingComputer. Deze firewalls bevinden zich overigens vooral in de Verenigde Staten.

Het betreft vermoedelijk een op Python-gebaseerde backdoor die op een andere server wordt gehost, weet The Hacker News te melden. Het lijkt erop dat bestanden die gebruikt worden voor het uitvoeren van malafide commando’s, legitieme bestanden zijn die geassocieerd zijn met de firewall. Dat zou mogelijk een manier zijn om detectie te omzeilen.

Securityspecialist watchTowr Lab, gespecialiseerd in het nabootsen van de methoden van kwaadwillenden, heeft een uitvoerige analyse losgelaten op de exploit en een proof-of-concept opgeleverd die aantoont dat aanvallers shellcommando’s kunnen uitvoeren op ongepatchte firewalls.

Veel gebruikt door Amerikaanse overheidsdiensten

Saillant is dat het PAN-OS door verschillende Amerikaanse overheidsdiensten wordt gebruikt, juist in beveiligde netwerken. De Amerikaanse overheidsdienst Cybersecurity and Infrastructure Security Agency (CISA) heeft de exploit toegevoegd aan de bekende kwetsbaarheden-catalogus. Dat verplicht Amerikaanse federale (nationale) instanties om getroffen systemen binnen zeven dagen te beveiligen.

Palo Alto Networks ziet updaten naar de meest recente PAN-OS versie als meest effectieve oplossing. Eerdere maatregelen, zoals het uitschakelen van telemetrie, gelden inmiddels als ineffectief. Verder kunnen gebruikers met een actief ‘Threat Prevention’-abonnement lopende aanvallen blokkeren door ‘Threat ID 95187’-mitigatie te activeren.

Lees ook: Spyware-industrie ontwikkelt de meeste zeroday’s en overheden bevorderen dit