Hackers altamente capaces están atacando múltiples redes corporativas explotando una vulnerabilidad de día cero de máxima gravedad en un producto de firewall de Palo Alto Networks, dijeron investigadores el viernes.
La vulnerabilidad, que ha estado bajo explotación activa durante al menos dos semanas, permite a los piratas informáticos sin autenticación ejecutar código malicioso con privilegios de root, el nivel más alto posible de acceso al sistema, dijeron los investigadores. El alcance del compromiso, junto con la facilidad de explotación, le ha otorgado a la vulnerabilidad CVE-2024-3400 la calificación de gravedad máxima de 10,0. Los ataques en curso son los últimos de una serie de ataques dirigidos a firewalls, VPN y dispositivos de transferencia de archivos, que son objetivos populares debido a su gran cantidad de vulnerabilidades y su canal directo hacia las partes más sensibles de una red.
Es probable que al UTA0218 “altamente capaz” se le unan otros
El día cero está presente en los firewalls PAN-OS 10.2, PAN-OS 11.0 y/o PAN-OS 11.1 cuando están configurados para usar tanto la puerta de enlace GlobalProtect como la telemetría del dispositivo. Palo Alto Networks aún tiene que solucionar la vulnerabilidad, pero insta a los clientes afectados a seguir la solución alternativa y la guía de mitigación proporcionada. aquí
Volexity, la empresa de seguridad que descubrió los ataques de día cero, dijo que actualmente no puede vincular a los atacantes con ningún grupo conocido anteriormente. Sin embargo, según los recursos necesarios y las organizaciones a las que se dirigen, son “altamente capaces” y probablemente estén respaldadas por un Estado-nación. Hasta ahora, se sabe que solo un grupo de amenazas, al que Volexity rastrea como UTA0218, está aprovechando la vulnerabilidad en ataques limitados. La compañía advirtió que a medida que nuevos grupos se enteren de la vulnerabilidad, CVE-2024-3400, es probable que sea objeto de explotación masiva, al igual que los recientes días cero que afectaron a productos como Ivanti, Atlassian, Citrix y Progress en los últimos meses. .
“Al igual que con revelaciones públicas anteriores de vulnerabilidades en este tipo de dispositivos, Volexity evalúa que es probable que UTA0218 y potencialmente otros actores de amenazas que puedan desarrollar exploits para esta vulnerabilidad observen un aumento en la explotación en los próximos días”, investigadores de la compañía. escribió el viernes. “Este aumento en la actividad será impulsado por la urgencia de cerrar esta ventana de acceso debido a las mitigaciones y parches que se están implementando. Por lo tanto, es imperativo que las organizaciones actúen rápidamente para implementar las mitigaciones recomendadas y realizar revisiones de compromiso de sus dispositivos para comprobar si se requiere una mayor investigación interna de sus redes”.
Los primeros ataques que Volexity ha visto tuvieron lugar el 26 de marzo en lo que los investigadores de la compañía sospechan que fue UTA0218 que probó la vulnerabilidad colocando archivos de cero bytes en dispositivos de firewall para validar la explotabilidad. El 7 de abril, los investigadores observaron que el grupo intentaba sin éxito instalar una puerta trasera en el firewall de un cliente. Tres días después, los ataques del grupo desplegaron con éxito cargas útiles maliciosas. Desde entonces, el grupo de amenazas ha implementado malware post-explotación personalizado y nunca antes visto. La puerta trasera, que está escrita en lenguaje Python, permite a los atacantes utilizar solicitudes de red especialmente diseñadas para ejecutar comandos adicionales en dispositivos pirateados.