Nadat beveiligingsonderzoekers hun analyse publiceerdenvan een eerder ontdekte kritieke zeroday-bug in firewalls van Palo Alto Networks, blijken duizenden firewalls wereldwijd nog kwetsbaar voor de actief misbruikte bug.
Ongeveer 6.000 firewalls van Palo Alto Networks zijn kwetsbaar voor bug CVE-2024-3400. Via die bug kunnen aanvallers binnenbreken op firewalls met de GlobalProtect-functionaliteit en daar hun gang gaan. De kwetsbare firewalls zijn toegankelijk via het internet en kunnen dus zonder al te veel moeite als aanvalsvector misbruikt worden, aldus de Shadowserver Foundation.
Onderzoekers publiceerden vorige week gedetailleerde analyses van de recent ontdekte kwetsbaarheid in de firewalls van Palo Alto Networks. Die analyses verschenen publiekelijk nadat Palo Alto patches heeft uitgerold voor de bug. De onderzoekers leggen uit hoe de bug precies werkt en die informatie kunnen criminelen nu gebruiken om op grote schaal aanvallen op te zetten. Precies daarom is het risico voor de eigenaars van de duizenden vindbare firewalls zo groot.
Beveiligingsbedrijf Volexity identificeerde op 10 april al de zeroday-kwetsbaarheid in de van GlobalProtect voorzienefirewalls van Palo Alto Networks bij een van zijn klanten voor netwerkbeveiligingsmonitoring. De kwetsbaarheid, CVE-2024-3400, kreeg de maximale ernstclassificatie, maar werd intussen gepatcht door Palo Alto Networks. Tot die tijd konden klanten het risico mitigeren door telemetrie uit te schakelen. Nu blijkt dat die techniek niet waterdicht is. Patchen is dus de enige optie.
CVE-2024-3400
De zeroday is aanwezig in PAN-OS 10.2-, PAN-OS 11.0- en/of PAN-OS 11.1-software van de firewalls. De CVE-2024-3400-kwetsbaarheid wordt ondertussen al minstens twee weken actief uitgebuit en stelt hackers in staat om kwaadaardige code uit te voeren zonder authenticatie. De kwetsbaarheid heeft bijgevolg de maximale ernstclassificatie van 10.0 opgeleverd.
Capabele aanvallers
Het beveiligingsbedrijf dat de zeroday-aanval opmerkte, heeft de aanvallers nog niet kunnen koppelen aan eerdere bekende groepen, dat meldt Veloxity. Ze worden door het bedrijf bestempeld als “zeer capabel” en krijgen vermoedelijk ondersteuning van een natiestaat. Momenteel is er slechts één bedreigingsgroep, aangeduid als UTA0218, die de kwetsbaarheid gebruikt bij beperkte aanvallen. Eenmaal de kwetsbaarheid door meerdere groepen opgevangen wordt, kan deze door meerdere dreigingsgroepen uitgebuit worden, volgens Veloxity.
Aangezien de bug al werd uitgebuit voor die bekend was, en de documentatie rond de exploit nu publiek staat, is patchen van kritiek belang. Zonder patches blijven de firewalls kwetsbaar voor een actief misbruikte bug, die enkel meer criminelen zal lokken. Hoe de bug werkt met telemetrie uitgeschakeld, maakten onderzoekers nog niet bekend, maar reken er niet op dat hackers de details niet zelf zullen ontdekken.
Dit artikel verscheen oorspronkelijk op 15 april 2024. De tekst kreeg een update met de recentste informatie.