شرکت پالوآلتو دستورالعملهای اصلاحی را برای یک نقص امنیتی بحرانی که به تازگی فاش شده و بر روی PAN-OS تاثیر میگذارد، به اشتراک گذاشته است. این آسیبپذیری به طور فعالانه مورد سوءاستفاده قرار گرفته است.
این آسیبپذیری که با شناسه CVE-2024-3400 شناخته میشود، میتواند برای اجرای دستورات به صورت ریموت (بدون نیاز به احراز هویت) روی دستگاههای آسیبپذیر مورد سوء استفاده قرار گیرد. این مشکل در نسخههای مختلف PAN-OS 10.2.x، ۱۱.۰.x و ۱۱.۱.x برطرف شده است.
شواهدی وجود دارد که نشان میدهد این آسیبپذیری به عنوان یک حمله روز-صفر از حداقل ۲۶ مارس ۲۰۲۴ توسط گروهی با نام UTA0218 مورد سوء استفاده قرار گرفته است.
این فعالیت که با نام رمز Operation MidnightEclipse شناخته میشود، شامل استفاده از این آسیبپذیری برای نصب یک بکدور مبتنی بر پایتون به نام UPSTYLE است. این بکدور قادر به اجرای دستوراتی است که از طریق درخواستهای به طور ویژه طراحی شده ارسال میگردد.
این حملات هنوز به یک گروه یا عامل تهدید شناخته شدهای نسبت داده نشده است، اما با توجه به روشهای حمله و اهداف، احتمال داده میشود که کار یک گروه هکری تحت حمایت دولت باشد.
آخرین توصیههای اصلاحی ارائه شده توسط پالوآلتو نتورکس بر اساس میزان نفوذ صورت گرفته، به شرح زیر است:
سطح ۰ – اسکن: تلاش ناموفق برای سوءاستفاده – بهروزرسانی به آخرین وصله ارائه شده
سطح ۱ – تست: شواهدی از تست شدن آسیبپذیری روی دستگاه، از جمله ایجاد یک فایل خالی روی فایروال اما بدون اجرای دستورات غیرمجاز – بهروزرسانی به آخرین وصله ارائه شده
سطح ۲ – خروج اطلاعات احتمالی: نشانههایی مانند کپی شدن فایلهایی مانند “running_config.xml” به مکانی که از طریق درخواستهای وب قابل دسترسی است – بهروزرسانی به آخرین وصله ارائه شده و انجام تنظیم مجدد اطلاعات خصوصی (Private Data Reset)
سطح ۳ – دسترسی تعاملی: شواهدی از اجرای دستورات تعاملی، مانند نصب بکدور و سایر کدهای مخرب – بهروزرسانی به آخرین وصله ارائه شده و انجام تنظیم مجدد کارخانه (Factory Reset)
پالوآلتو نتورکس میگوید: “انجام تنظیم مجدد اطلاعات خصوصی، خطرات سوء استفاده احتمالی از دادههای دستگاه را از بین میبرد. تنظیم مجدد کارخانه به دلیل وجود شواهد فعالیت نفوذگران با روشهای تهاجمیتر توصیه میشود.”