Network Rede Firewall Cdn

Palo Alto não confirma ataque a firewalls

Da Redação
24/11/2024

Mais de dois mil firewalls da Palo Alto Networks foram comprometidos por meio de duas vulnerabilidades graves no sistema operacional PAN-OS, de acordo com dados divulgados pela Shadowserver Foundation. A fundação, especializada em cibersegurança, identificou 18 dispositivos afetados apenas no Brasil e alertou que o número global de sistemas vulneráveis pode crescer rapidamente.

Leia também
IA eleva para 1 bilhão/dia ameaças contra Amazon
Vem aí ransomware à prova de computação quântica

As falhas exploradas são as vulnerabilidades CVE-2024-0012 e CVE-2024-9474. A primeira, um desvio de autenticação na interface de gerenciamento, permite que invasores não autenticados obtenham privilégios administrativos no firewall, concedendo controle total sobre o sistema. A segunda vulnerabilidade, descoberta em combinação com a primeira, possibilita a instalação de web shells, ferramentas que os atacantes usam para manter acesso persistente e realizar novas ações maliciosas. A Palo Alto Networks respondeu rapidamente à situação, lançando uma atualização de segurança para corrigir ambas as falhas. No entanto, o código para exploração dessas vulnerabilidades (exploit) já circula online, aumentando o risco de ataques mais amplos. A empresa também disponibilizou Indicadores de Compromisso (IoCs) para ajudar organizações a identificar possíveis intrusões.

A Palo Alto Networks informou ao Bleeping Computer que “ainda está investigando ataques em andamento encadeando as duas falhas para atingir um número limitado de interfaces da web de gerenciamento de dispositivos e que já observou agentes de ameaças lançando malware e executando comandos em firewalls comprometidos, alertando que uma exploração em cadeia provavelmente já está disponível”.”Esta atividade original relatada em 18 de novembro de 2024 originou-se principalmente de endereços IP conhecidos por tráfego de proxy/túnel para serviços VPN anônimos“, disse a empresa.

A Shadowserver alertou que essas vulnerabilidades representam uma ameaça significativa, especialmente porque a exploração ativa já foi confirmada. Embora não se saiba há quanto tempo os ataques estão em andamento, a presença de web shells sugere que os invasores podem ter mantido acesso a sistemas comprometidos por um período considerável.

Especialistas recomendam a aplicação imediata das atualizações de segurança fornecidas pela Palo Alto Networks e a realização de auditorias detalhadas em sistemas potencialmente vulneráveis. Empresas devem monitorar cuidadosamente seus dispositivos em busca de sinais de comprometimento e garantir que medidas preventivas estejam em vigor para proteger suas infraestruturas críticas.

Compartilhar: