CISA: נוצלה חולשה קריטית של פאלו אלטו

נקודת תורפה בעלת דירוג חומרה קריטי שמשפיעה על כלי של פאלו אלטו נוצלה על ידי האקרים לטובת ביצוע מתקפות סייבר – כך לפי CISA, הסוכנות האמריקנית לאבטחת סייבר ותשתיות. החולשה נחשפה בחודש יולי השנה.

CISA פרסמה לפני ימים אחדים אזהרה על הפגיעות, CVE-2024-5910, וציינה כי היא משפיעה על כלי ההגירה Expedition של פאלו אלטו. הסוכנות הפדרלית הוסיפה את הבאג לקטלוג החולשות שלה שידוע כי נוצלו על ידי הרעים ברחבי העולם. זאת, לצד שלושה פגמי תוכנה של ספקיות אבטחה אחרות. הסוכנות לא פירטה את מיקום וזהות ההאקרים שנחשפו כמי שמנצלים את הפגיעות.

הפגיעות קיבלה דירוג חומרה "קריטי" בציון של 9.3 מתוך 10, והיא נובעת מחוסר אימות. כך, האקרים עלולים לנצל את הפגיעות הקריטית של האימות החסר ב-Expedition – כלי הגירה מעולם האבטחה, המסייע לארגונים לעבור מצ'ק פוינט, סיסקו ואחרים לסביבת וכלי פאלו אלטו. על אף שהליקוי תוקן ביולי, מומחי אבטחה העריכו כי גורמי איומים עלולים לנצל אותו מרחוק כדי לאפס את אישורי המנהל.

"פגיעוית מסוג זה מהוות סיכון משמעותי לארגוני ממשל"

בהודעת CISA צוין ש-"פגיעויות מסוג זה משמשות כ-וקטורים לתקיפה ושחקני סייבר זדוניים עושים בהן שימוש תכוף. הן מהוות סיכון משמעותי לארגוני ממשל".

על אף שהאזהרה תקפה רק לגבי סוכנויות אזרחיות פדרליות, הרי ש-"CISA דוחקת בכל הארגונים להפחית את היקף החשיפה שלהם למתקפות סייבר על ידי עדיפות לתיקון מיידי של חולשות המנוצלות באופן פעיל, כגון הפגם הזה. תוקף בעל גישה לרשת עלול להשתלט על חשבון ניהול של Expedition, ומשם הוא יכול לגשת לנתונים סודיים שונים".

כאשר הפגיעות נתגלתה – כאמור, ביולי השנה – ציינו אנשי פאלו אלטו כי "אי תיקון מיידי של הפגיעות עלול להוביל להשתלטות של תוקפים על חשבון מנהל המערכת של Expedition, עבור תוקפים שיש להם גישת רשת ל-Expedition". נכון למועד הגילוי שלה, פאלו אלטו אמרה שהיא אינה מודעת לניצול כלשהו של הפגיעות.

בסוף השבוע האחרון מסרה פאלו אלטו כי היא "מודעת לדו"ח של CISA בנוגע לניצול פעיל של החולשה". החברה ציינה כי "עדכנו את עלון האזהרה שלנו בנושא אבטחה. אנחנו דוחקים בלקוחות לוודא ש-Expedition מעודכנת לגרסה 1.2.92 או לגרסאות מאוחרות יותר. נמשיך לעקוב אחר המצב מקרוב". באשר למנהלי מערכת, שאינם יכולים להתקין מיד עדכוני אבטחה לחסימת התקפות נכנסות, ענקית האבטחה המליצה "להגביל את הגישה לרשת Expedition ולעדכן את כל שמות המשתמש, הסיסמאות ומפתחות ה-API".