據(jù)相關(guān)結(jié)果顯示，大約有2000臺(tái)Palo Alto Networks設(shè)備在一場(chǎng)利用新披露的安全漏洞的活動(dòng)中被入侵，這些漏洞正在野外受到積極利用。根據(jù)Shadowserver Foundation提供的統(tǒng)計(jì)數(shù)據(jù)，大多數(shù)感染報(bào)告來自美國(guó)（554例）和印度（461例），其次是泰國(guó)（80例）、墨西哥（48例）、印度尼西亞（43例）、土耳其（41例）、英國(guó)（39例）、秘魯（36例）和南非（35例）。Censys本周早些時(shí)候透露，他們已識(shí)別出13,324個(gè)公開暴露的下一代防火墻（NGFW）管理界面，其中34%的暴露位于美國(guó)。需要注意的是，并非所有暴露的主機(jī)都必然會(huì)受攻擊。

有問題的缺陷CVE-2024-0012（CVSS 評(píng)分：9.3）和 CVE-2024-9474（CVSS 評(píng)分：6.9）是身份驗(yàn)證繞過和權(quán)限提升的組合，可能允許不良行為者執(zhí)行惡意操作，包括修改配置和執(zhí)行任意代碼。

何為更有效的應(yīng)對(duì)措施

Palo Alto Networks 表示正在以 Operation Lunar Peek 的名義跟蹤最初對(duì)漏洞的零日漏洞利用，他們正在被武器化以實(shí)現(xiàn)命令執(zhí)行并將惡意軟件（例如基于 PHP 的 Web shell）投放到被黑客入侵的防火墻上。

網(wǎng)絡(luò)安全供應(yīng)商還說，針對(duì)安全漏洞的網(wǎng)絡(luò)攻擊可能會(huì)在將它們組合的漏洞利用可用后升級(jí)。為此，以中等到高度的置信度評(píng)估鏈接 CVE-2024-0012 和 CVE-2024-9474 的功能性漏洞是否公開可用，這將允許更廣泛的威脅活動(dòng)。此外，他們已經(jīng)觀察到手動(dòng)和自動(dòng)掃描活動(dòng)，用戶需盡快應(yīng)用最新的修復(fù)程序，并根據(jù)推薦的最佳實(shí)踐部署指南安全訪問管理界面。尤其包括限制僅受信任的內(nèi)部 IP 地址的訪問，以防止來自 Internet 的外部訪問。

用于丟棄Sliver 和Crypto 礦工的PAN 缺陷

Palo Alto Networks 最新披露，受感染設(shè)備的實(shí)際數(shù)量小于報(bào)告的數(shù)量，因?yàn)楹笳邇H顯示暴露于Internet 管理界面的防火墻。除了與受影響的客戶合作外，其大多數(shù)客戶已經(jīng)遵循行業(yè)最佳實(shí)踐并保護(hù)其管理界面，只有不到 0.5% 的防火墻具有暴露于互聯(lián)網(wǎng)的界面。

云安全公司 Wiz透露，在一周前發(fā)布有效的概念驗(yàn)證POC 漏洞后，在野外的漏洞利用嘗試“急劇增加”，并且觀察到威脅行為者將漏洞武器化，以投放 Web shell、Sliver 植入物和加密礦工。

參考資料：https://thehackernews.com/2024/11/warning-over-2000-palo-alto-networks.html