Palo Alto Networks ha condiviso istruzioni di remediation per le organizzazioni i cui firewall sono stati compromessi attraverso lo sfruttamento della vulnerabilità nota come CVE-2024-3400.
Mercoledì, il gigante della cybersecurity ha aggiornato il suo avviso per CVE-2024-3400 includendo un link a un articolo della knowledge base che fornisce le remediation in base al livello di successo del tentativo di sfruttamento.
In precedenza, Palo Alto Networks aveva fornito informazioni su come verificare se un dispositivo era stato compromesso o mirato da attori di minacce.
Ai clienti che rilevano tentativi di sfruttamento non riusciti è stato consigliato di aggiornare all’ultima hotfix di PAN-OS. Lo stesso deve essere fatto dalle organizzazioni che trovano prove di qualcuno che ha testato il loro firewall per verificarne la vulnerabilità — ciò tipicamente comporta la creazione di un file vuoto sul firewall, senza eseguire comandi non autorizzati.
Inizialmente, Palo Alto Networks aveva rilasciato patch solo per alcune delle versioni di PAN-OS interessate, ma ora le correzioni sono disponibili per tutte le versioni.
Se ci sono segni di potenziale esfiltrazione di dati — ciò comporta la copia di un file come ‘running_config.xml’ in una posizione accessibile tramite richieste web — i clienti devono non solo aggiornare PAN-OS ma anche eseguire un reset privato dei dati, che elimina il rischio di uso improprio dei dati del dispositivo.
Le aziende che trovano prove di esecuzione di comandi interattivi, il peggior scenario possibile, devono eseguire un reset di fabbrica del dispositivo oltre ad aggiornare PAN-OS. Se l’attaccante ha eseguito comandi, potrebbe aver installato backdoor o esfiltrato dati.
Palo Alto ha notato che il reset privato dei dati e il reset di fabbrica elimineranno la possibilità di catturare artefatti forensi che potrebbero essere necessari per condurre un’indagine.
Cloud & Data Security Summit | Evento Virtuale
Gli attacchi che sfruttano CVE-2024-3400 per compromettere i firewall di Palo Alto sono emersi il 12 aprile, quando il fornitore e l’azienda di cybersecurity Volexity hanno emesso avvisi riguardo il giorno zero sfruttato in attacchi limitati.
Volexity non ha ancora collegato l’attività a un attore di minacce o operazione noti, ma è fiduciosa che un gruppo sponsorizzato da uno stato sia dietro l’attacco. Alcuni membri dell’industria della cybersecurity affermano di aver trovato collegamenti con la Corea del Nord, ma questo non è ancora stato corroborato.
Volexity traccia l’attore della minaccia come UTA0218 e Palo Alto sta tracciando lo sfruttamento iniziale della vulnerabilità come Operation MidnightEclipse. Lo sfruttamento è aumentato dopo il rilascio del codice PoC.
Secondo i dati della Shadowserver Foundation, il numero di dispositivi esposti a internet che potrebbero essere vulnerabili agli attacchi è in diminuzione, ma ci sono ancora alcune migliaia di dispositivi che gli hacker potrebbero riuscire a compromettere.
Maestro del Caos Digitale e Guardiano del Cyberspazio, naviga nel mare oscuro della sicurezza informatica da oltre vent’anni, armato di codice e un irresistibile papillon.
Con la precisione di un bisturi e l’umorismo di un hacker, ha trasformato centinaia di “comuni mortali IT” in veri e propri ninja dell’Ethical Hacking. La sua missione? Insegnare l’arte della difesa digitale a migliaia di ignare risorse aziendali, un firewall alla volta.
Tre segreti che lo rendono un unicorno nel mondo cyber:
Ha una relazione quasi ossessiva con le password. Alcuni collezionano francobolli, lui colleziona hash crittografici.
Il suo gatto si chiama Hash. Sì, come l’algoritmo. No, non miagola in binario (ancora).
Indossa sempre un papillon, perché chi ha detto che non si può hackerare con stile?
Se lo cercate, seguite la scia di bit verdi: è il suo colore preferito. Perché anche nel mondo digitale, è sempre primavera per la sicurezza!