פאלו אלטו: פגיעות קריטית בחומת האש שלנו נוצלה לרעה

חולשה בדרגת חומרה "קריטית", מסוג פרצת יום אפס, שמשפיעה על כמה ממשקי ניהול בפיירוול של פאלו אלטו שחשופים לאינטרנט, נוצלה לרעה במתקפות סייבר – כך דיווחה ענקית האבטחה.

ספקית הדור הבא של פיירוולים (NGFW) הנפיקה ביום ה' האחרון עדכון לאזהרת אבטחה שלה, ובו כתבה כי החוקרים שלה זיהו מתקפות שמנצלות את הפגם בביצוע קוד מרחוק (RCE). הפגם נחשף ב-8 בנובמבר.

"פאלו אלטו זיהתה פעילות של שחקני איום, שמנצלת פגיעות לא מאומתת בעת ביצוע של פקודות מרחוק נגד מספר מוגבל של ממשקי ניהול פיירוול, החשופים לאינטרנט", מסרה החברה בעדכון. "אנחנו חוקרים את הפעילות הזו לעומק".

חוקרי החברה מאמינים כי "הגישה לפריזמה, פלטפורמת אבטחת הענן שלנו, כמו גם פריסות של פיירוולים שלנו בענן – אינן מושפעות מהפגיעות". זו תויגה כ-PAN-SA-2024-0015.

פלטפורמת ניטור האיומים The Shadowserver Foundation דיווחה כי גילתה כ-8,700 ממשקים חשופים. אחד מחוקרי האיומים, יוטאקה סג'יאמה, שערך סריקות משלו, דיווח כי הוא צפה ב-11,180 כתובות IP שנחשפו ברשת הקשורות לממשק הניהול של פאלו אלטו. חוקר אחר מסר כי רוב המכשירים החשופים נמצאו בארצות הברית, הודו, מקסיקו, תאילנד ואינדונזיה.

מה כדאי לעשות?

בעדכון הייעוץ, פאלו אלטו ציינה שהיא "ממליצה בחום ללקוחות לוודא שהגישה לממשק הניהול שלהם מוגדרת כראוי".

"בפרט אנחנו ממליצים לוודא באופן מיידי שהגישה לממשק הניהול אפשרית רק מכתובות IP פנימיות מהימנות – ולא מהאינטרנט", הוסיפה החברה. הפגיעות קיבלה דירוג חומרה "קריטי" של 9.3 מתוך 10, והיא ניתנת לניצול מרחוק, ללא דרישת אימות או אינטראקציה עם המשתמש.

ענקית האבטחה ייעצה למשתמשים להגדיר גישה לממשק ניהול הפיירוול, כך שיהיה נגיש רק מכתובות IP פנימיות מהימנות; לחסום כל גישה מהאינטרנט לממשק הניהול, כדי למנוע ניצול לרעה; למקם את ממשק הניהול מאחורי רשת מאובטחת או VPN – כדי להבטיח שהגישה נשלטת ומאומתת; ולסקור וליישם את הנחיות האבטחה.

בקשה "בעלת מבנה מיוחד" לקבלת שליטה בפיירוול

בתגובה לדיווח מסרה פאלו אלטו בסוף השבוע כי "הפגיעות אומתה מאז העדכון המקורי שלנו מה-8 בנובמבר. נמשיך לעקוב מקרוב אחר המצב ונעודד את הלקוחות לעיין בעלון האבטחה לקבלת הפרטים העדכניים ביותר". "בשלב זה", ציינו בחברה, "אנחנו מאמינים שמכשירים שהגישה שלהם לממשק הניהול לא מאובטחת בהתאם להנחיות המומלצות שלנו לפריסת שיטות עבודה מומלצות נמצאים בסיכון מוגבר".

מומחים ציינו כי לאחר זיהוי הממשק, שחשוף לאינטרנט, התוקף עלול לשלוח בקשה "בעלת מבנה מיוחד", כדי לקבל שליטה בלתי מורשית בפיירוול. מצב זה עלול לאפשר לו לשנות כללים, לנתב מחדש או ליירט תעבורת רשת ולכבות את הגנות האבטחה.

"בשלב זה, אבטחת גישה לממשק הניהול היא הפעולה המומלצת הטובה ביותר", סיכמה פאלו אלטו. "בזמן שאנחנו חוקרים את פעילות שחקני האיום, אנחנו נערכים לשחרר תיקונים וחתימות למניעת איומים מוקדם ככל האפשר".