Thứ Tư vừa qua, Palo Alto Networks đã phát hành cảnh báo về các lỗ hổng bảo mật (đã có mã khai thác công khai) có thể bị kẻ tấn công lạm dụng để chiếm quyền điều khiển tường lửa (firewall) PAN-OS.
Các lỗ hổng được phát hiện trong Expedition của Palo Alto Networks - giải pháp giúp chuyển các cấu hình từ Checkpoint, Cisco hoặc các nhà cung cấp được hỗ trợ khác.
Các lỗ hổng có thể bị khai thác để truy cập dữ liệu nhạy cảm, như thông tin đăng nhập của người dùng, hoặc chiếm đoạt tài khoản quản trị tường lửa.
"Nhiều lỗ hổng trong Palo Alto Networks Expedition cho phép kẻ tấn công đọc nội dung cơ sở dữ liệu Expedition và các tệp tùy ý, cũng như ghi tệp tùy ý vào các vị trí lưu trữ tạm thời trên hệ thống Expedition", công ty cho biết.
Các lỗ hổng này bao gồm:
- CVE2024-9463: lỗ hổng unauthenticated command injection (không yêu cầu xác thực để khai thác)
- CVE2024-9464: lỗ hổng authenticated command injection (yêu cầu xác thực để khai thác)
- CVE2024-9465: lỗ hổng unauthenticated SQL injection
- CVE2024-9466: Thông tin xác thực dạng văn bản được lưu trữ trong tệp log
- CVE2024-9467: lỗ hổng unauthenticated reflected XSS.
Mã khai thác công khai
Nhà nghiên cứu lỗ hổng bảo mật Horizon3.ai, Zach Hanley, người đã phát hiện và báo cáo 04 lỗ hổng, cũng đã chia sẻ một bài phân tích, trong đó nêu chi tiết cách ông tìm thấy 3 trong số những lỗ hổng này trong khi nghiên cứu lỗ hổng CVE-2024-5910 (được thông báo và khắc phục vào tháng 7), cho phép kẻ tấn công thiết lập lại thông tin đăng nhập cho quản trị viên ứng dụng Expedition.
Hanley cũng đã phát hành một mã khai thác kết hợp CVE-2024-5910 với CVE-2024-9464 để thực thi lệnh tùy ý mà không cần xác thực trên các máy chủ Expedition dễ bị tấn công.
Palo Alto Networks cho biết hiện chưa có bằng chứng nào cho thấy lỗ hổng này đã bị khai thác trong các cuộc tấn công. "Các bản sửa lỗi cho tất cả các lỗ hổng trên đều có trong Expedition 1.2.96 và các phiên bản sau đó. Tệp log bị ảnh hưởng bởi CVE-2024-9466 sẽ tự động bị xóa trong quá trình nâng cấp. "
"Tất cả tên người dùng, mật khẩu và API key của Expedition phải được thay đổi sau khi nâng cấp lên phiên bản đã được vá của Expedition. Tất cả tên người dùng tường lửa, mật khẩu và khóa API được Expedition xử lý phải được thay đổi sau khi cập nhật."
Những quản trị viên không thể triển khai ngay các bản cập nhật bảo mật này phải hạn chế quyền truy cập Expedition chỉ cho những người dùng, máy chủ hoặc mạng được cấp quyền.
Vào tháng 4, công ty đã phát hành bản vá cho lỗ hổng zero-day có mức độ nghiêm trọng tối đa đã bị khai thác trong thực tế từ tháng 3 để xâm nhập vào tường lửa PAN-OS.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Bản vá lỗi tháng 10 năm 2024 của Microsoft, bao gồm các bản cập nhật bảo mật cho 118 lỗ hổng, 5 lỗ hổng zero-day được công khai, trong đó có 2 lỗ hổng đang bị khai thác tích cực.
Tín nhiệm mạng | Một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong Bộ phát triển phần mềm Java (SDK) Apache Avro, nếu khai thác thành công, có thể cho phép thực thi mã tùy ý trên các phiên bản dễ bị tấn công.
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đã phát hiện ra một họ phần mềm độc hại botnet mới có tên là Gorilla (hay còn gọi là GorillaBot), một biến thể của mã nguồn botnet Mirai bị rò rỉ.
Tín nhiệm mạng | Apple đã phát hành bản cập nhật mới cho iOS và iPadOS để giải quyết hai vấn đề bảo mật, một trong số đó có thể cho phép công nghệ hỗ trợ VoiceOver đọc to mật khẩu của người dùng.
Tín nhiệm mạng | Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công "CosmicSting" với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
Tín nhiệm mạng | Các nhà nghiên cứu an ninh mạng đang cảnh báo về các hoạt động khai thác đang nhắm vào lỗ hổng bảo mật mới được tiết lộ trong Zimbra Collaboration của Synacor.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
