Agencija za kibernetičku sigurnost i infrastrukturnu sigurnost (CISA) izdala je hitno upozorenje o aktivnoj eksploataciji višestrukih kritičnih ranjivosti Palo Alto Networks i ove ranjivosti su otkrivene u alatu za migraciju Expedition kompanije Palo Alto Networks.
Agencija je dodala dvije velike greške u svoj katalog poznatih eksploatiranih ranjivosti (KEV), signalizirajući neposrednu prijetnju organizacijama koje koriste zahvaćeni softver.
Ranjivosti o kojima je riječ su CVE-2024-9463 , greška u ubrizgavanju komandi OS-a i CVE-2024-9465 , ranjivost SQL injekcije. Oba imaju ocjenu kritične ozbiljnosti sa CVSS ocjenama od 9,9 i 9,2, respektivno.
Ove sigurnosne rupe dozvoljavaju napadačima bez autentifikacije da izvršavaju proizvoljne komande s root privilegijama i pristupaju osjetljivim informacijama, uključujući korisnička imena, lozinke, konfiguracije uređaja i API ključeve PAN-OS firewall-a.
Palo Alto Networks je objavio zakrpe za ove ranjivosti u oktobru 2024., koje su uticale na verzije Expedition prije 1.2.96. Međutim, CISA-ino upozorenje ukazuje da uprkos dostupnosti popravki, hakeri aktivno iskorištavaju ove slabosti u divljini.
Ranjivosti u KEV-u
Uključivanje ovih ranjivosti u KEV katalog naglašava hitnost situacije. Od agencija Federalne civilne izvršne vlasti (FCEB) se sada traži da otklone ove ranjivosti do 28. novembra 2024. godine, kako to nalaže obavezujuća operativna direktiva (BOD).
Iako se direktiva posebno odnosi na federalne agencije, CISA snažno apelira na sve organizacije da odmah daju prioritet otklanjanju ovih ranjivosti. Potencijalni uticaj uspešne eksploatacije je ozbiljan, što može dovesti do potpunog narušavanja sistema i neovlašćenog pristupa kritičnoj mrežnoj infrastrukturi.
Istraživači sigurnosti su već objavili eksploatacije dokaza o konceptu za neke od ranjivosti Ekspedicije, što dodatno povećava rizik od raširenih napada. Organizacijama se savetuje da ne samo da zakrpe svoje sisteme, već i da izvrše detaljne bezbjednosne procene kako bi identifikovale sve potencijalne kompromise.
Pored zakrpe, CISA preporučuje implementaciju dodatnih sigurnosnih mjera kao što je ograničavanje pristupa mreži Expedition sistemima, primjena jakih mehanizama autentifikacije i praćenje sumnjivih aktivnosti.
Ako trenutno zakrpanje nije moguće, organizacije bi trebale razmotriti privremeno onemogućavanje Expedition-a ako to nije kritično za operacije.
Ovaj incident služi kao oštar podsjetnik na tekuću igru mačke i miša između profesionalaca za kibernetičku sigurnost i hakera. Ističe kritičnu važnost brzog zakrpanja i proaktivnog upravljanja ranjivostima u održavanju čvrstog sigurnosnog položaja.
Izvor: CyberSecurityNews
