هشدار کارشناسان درباره سوءاستفاده از فایروال‌های پالو آلتو

به گزارش کارگروه امنیت خبرگزاری سایبربان، محققان بنیاد شادو سرور (Shadowserver) در بریتانیا روز پنجشنبه اعلام کردند که حدود 2 هزار فایروال پالو آلتو نتوورکس (Palo Alto Networks) در سراسر جهان، از جمله صدها دستگاه در ایالات متحده و هند، دچار نفوذ شده‌اند.

هکرها از دو آسیب‌پذیری جدید با کدهای CVE-2024-0012 و CVE-2024-9474 سوءاستفاده کرده‌اند.

این آسیب‌پذیری‌ها که در رابط‌های مدیریتی فایروال های نصل بعد (Next-Generation Firewalls (NGFW)) شرکت شناسایی شده‌اند، می‌توانند به مهاجمان اجازه دهند کنترل کامل سیستم‌ها را در دست بگیرند.

هشدارها در این زمینه از حدود دو هفته پیش و پس از اینکه پالو آلتو نتوورکس اطلاعیه‌ای درباره این مشکلات منتشر کرد، آغاز شد.

تیم امنیتی پالو آلتو موسوم به واحد 42 (Unit42) و محققان آرکتیک وولف (Arctic Wolf) تأیید کرده‌اند که هکرها با استفاده از این دو آسیب‌پذیری توانسته‌اند سیستم‌ها را مورد نفوذ قرار دهند.

این شرکت اوایل این هفته اصلاحیه‌هایی برای هر دو آسیب‌پذیری منتشر کرده و از مشتریان خواسته است دسترسی به دستگاه‌ها را محدود کنند.

گفته شده که یک آسیب‌پذیری عملیاتی برای ترکیب دو آسیب‌پذیری به‌صورت عمومی در دسترس است.

آرکتیک وولف روز جمعه اعلام کرد که در چندین مورد نفوذ، هکرها تلاش کرده‌اند داده‌های حساس را از دستگاه‌های فایروال استخراج کنند، از جمله فایل‌های پیکربندی که حاوی اعتبارنامه‌هایی برای دسترسی عمیق‌تر به شبکه هستند.

همچنین تلاش‌هایی برای سرقت رمزهای عبور سیستم‌عامل و دیگر فایل‌ها مشاهده شده است.

پالو آلتو نتوورکس اعلام کرد که همچنان در حال بررسی حملاتی است که این دو آسیب‌پذیری را به‌صورت ترکیبی مورد سوءاستفاده قرار می‌دهند.

در برخی موارد، هکرها بدافزارهایی را روی سیستم‌های آسیب‌دیده نصب کرده‌اند.

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) دستور داده است که تمام نهادهای غیرنظامی فدرال تا 9 دسامبر این آسیب‌پذیری‌ها را برطرف کنند و تأیید کرده که شواهدی از سوءاستفاده از هر دو مورد وجود دارد.

الاد لوز، رئیس تحقیقات در شرکت امنیتی اوآسیس (Oasis Security)، اظهار کرد که مشتریان پالو آلتو باید فوراً دسترسی به دستگاه‌ها را محدود کرده و فقط به آدرس‌های آی پی داخلی اجازه دسترسی دهند.

او افزود:

اعدادی که توسط شادو سرور گزارش شده‌اند نگران‌کننده هستند، زیرا نشان می‌دهند 7٪ از مشتریان مورد نفوذ قرار گرفته‌اند. با چنین نسبت بالایی، نه تنها باید سیستم‌ها را به‌روزرسانی کرد، بلکه باید اطمینان حاصل کرد که هیچ بدافزار یا پیکربندی مخربی روی دستگاه باقی نمانده است.

لوز توصیه کرد که کاربران پس از اعمال به‌روزرسانی، تنظیمات فایروال خود را بررسی کنند تا مطمئن شوند هیچ تغییری صورت نگرفته است و همچنین لاگ‌های فعالیت مدیر سیستم را بازبینی کنند تا مشخص شود آیا مهاجمان از رابط وب برای اقدامات مخرب استفاده کرده‌اند یا خیر.

پاتریک تیکه از شرکت امنیتی کیپر (Keeper Security) هشدار داد که بزرگ‌ترین خطر، امکان تصاحب کامل فایروال‌های آسیب‌دیده توسط مهاجمان است.

او تاکید کرد:

این نفوذ می‌تواند به نصب بدافزار، سرقت داده‌ها، حرکت جانبی در شبکه و حتی خاموشی کامل شبکه منجر شود. برای سازمان‌هایی که به این فایروال‌ها متکی هستند، این به معنای اختلال در کسب‌وکار، از دست دادن داده‌های حساس و مواجهه با پیامدهای مالی و قانونی است.