Saat ini, perusahaan keamanan siber Palo Alto Networks memperingatkan pengguna untuk membatasi akses ke firewall generasi berikutnya karena potensi kerentanan eksekusi kode jarak jauh di antarmuka manajemen PAN-OS.
Dalam peringatan keamanan yang dikeluarkan pada hari Jumat, perusahaan mengatakan belum memiliki informasi tambahan tentang dugaan kelemahan keamanan dan menambahkan bahwa mereka belum mendeteksi tanda-tanda eksploitasi aktif.
“Palo Alto Networks mengetahui dugaan kerentanan eksekusi kode jarak jauh melalui antarmuka manajemen PAN-OS.” Saat ini kami belum mengetahui secara spesifik kerentanan yang diklaim. “Kami secara aktif memantau tanda-tanda eksploitasi,” katanya.
“Kami sangat menganjurkan pelanggan untuk memastikan bahwa akses ke antarmuka manajemen Anda dikonfigurasi dengan benar sesuai dengan pedoman penerapan praktik terbaik yang kami rekomendasikan.”
“Pengguna Cortex Xpanse dan Cortex KSSIAM dengan modul ASM dapat menyelidiki kejadian yang terekspos Internet dengan meninjau peringatan yang dihasilkan oleh aturan permukaan serangan Login Admin Firewall Jaringan Palo Alto.”
Perusahaan menyarankan pelanggan untuk memblokir akses dari Internet ke antarmuka manajemen PAN-OS di firewall mereka dan hanya mengizinkan koneksi dari alamat IP internal tepercaya.
Menurut dokumen dukungan terpisah di situs komunitas Palo Alto Networks, administrator juga dapat mengambil satu atau lebih tindakan berikut untuk mengurangi paparan antarmuka manajemen:
Pisahkan antarmuka manajemen pada VLAN manajemen khusus. Gunakan server lompat untuk mengakses alamat IP yang dikelola. Pengguna diautentikasi dan terhubung ke server lompat sebelum masuk ke firewall/Panorama. Batasi alamat IP masuk ke antarmuka manajemen Anda pada perangkat manajemen yang disetujui. Hal ini akan mengurangi permukaan serangan dengan mencegah akses dari alamat IP yang tidak terduga dan mencegah akses menggunakan kredensial yang dicuri. Izinkan hanya komunikasi aman seperti SSH, HTTPS. Izinkan PING hanya untuk menguji konektivitas ke antarmuka. Cacat autentikasi kritis yang hilang dieksploitasi dalam serangan
Pada hari Kamis, CISA juga memperingatkan serangan yang sedang berlangsung yang mengeksploitasi kerentanan otentikasi kritis yang hilang di Ekspedisi Jaringan Palo Alto yang dilacak sebagai CVE-2024-5910. Kelemahan keamanan ini telah ditambal pada bulan Juli dan dapat dieksploitasi dari jarak jauh oleh pelaku ancaman untuk mengatur ulang kredensial administrator aplikasi di server Ekspedisi yang terpapar Internet.
Meskipun CISA tidak memberikan rincian lebih lanjut tentang serangan ini, peneliti kerentanan Horizon3.ai Zach Hanley menerbitkan bukti konsep eksploitasi bulan lalu yang menghubungkannya dengan kerentanan injeksi perintah (dilacak sebagai CVE-2024-9464) untuk mendapatkan “tidak sah” eksekusi perintah sewenang-wenang aktif server Ekspedisi yang rentan.
CVE-2024-9464 juga dapat dikaitkan dengan kelemahan keamanan lainnya – yang telah diatasi oleh Palo Alto Networks pada bulan Oktober – untuk mengambil alih akun administrator dan membajak firewall PAN-OS.
Badan Keamanan Siber AS juga menambahkan kerentanan CVE-2024-5910 ke dalam Katalog Kerentanan yang Diketahui dan Dieksploitasi, dan memerintahkan badan-badan federal untuk mengamankan sistem mereka dari serangan tersebut dalam waktu tiga minggu, hingga 28 November.
“Jenis kerentanan ini sering menjadi vektor serangan bagi pelaku siber jahat dan menimbulkan risiko signifikan bagi perusahaan federal,” CISA memperingatkan.
unity software
unity software information
software information
