首页 时事 民生 政务 教育 文化 科技 财富 体娱 健康 情感
更多
旅行 百科 职场 楼市 企业 乐活 学术 汽车 时尚 创业 美食 幽默 美体 文摘

网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞

科技   2024-11-26 16:36   北京  

关注我们

带你读懂网络安全


攻击者通过组合利用两个零日漏洞,实现了远程完全控制PAN-OS安全设备;


据第三方监测,自攻击活动开始以来,已有约2000台PAN-OS设备被入侵;


研究人员对官方修复补丁进行逆向工程,发现这些漏洞源于开发中的低级错误。


前情回顾·零日漏洞利用动态
安全内参11月26日消息,国际网络安全巨头Palo Alto Networks日前修复了两个被积极利用的漏洞,这些漏洞影响其防火墙及虚拟化安全设备。攻击者可以利用这些漏洞,在安全设备操作系统PAN-OS上以最高权限执行恶意代码,从而完全控制设备。
Palo Alto Networks在18日发布公告,警告客户其正在调查PAN-OS的Web管理界面可能存在远程代码执行漏洞,并建议用户按推荐步骤限制对该界面的访问。
经过调查,公司确认远程代码执行攻击并非源于单一漏洞,而是通过组合利用两个漏洞实现攻击。这些漏洞已被攻击者在部分暴露于互联网的管理界面设备中利用。
Palo Alto Networks表示,此次攻击仅影响“极少数的PAN-OS”防火墙。但威胁监控平台Shadowserver在20日报告称,全球范围内至少有超过2700台易受攻击的PAN-OS设备。Shadowserver还发现,自攻击活动开始以来,已有约2000台设备被入侵。
图:美印等国的PAN-OS设备受攻击最多


身份验证绕过与权限提升


第一个漏洞(CVE-2024-0012)被评为严重级别,评分高达9.3(满分10)。攻击者可以利用该漏洞绕过身份验证,获取Web管理界面的管理员权限,从而执行管理操作或更改设备配置。
尽管这一漏洞已非常严重,但如果攻击者不能进一步在底层操作系统上执行恶意代码,就无法完全攻陷系统。
然而,攻击者通过第二个漏洞(CVE-2024-9474)达到了这一目的。该漏洞允许拥有Web管理界面管理员权限的用户,在类Linux操作系统上以root最高权限执行代码。
这些漏洞影响PAN-OS 10.2、11.0、11.1和11.2版本,目前所有受影响的版本均已发布补丁。


漏洞源自开发低级错误


安全公司watchTowr研究人员对Palo Alto修复补丁进行逆向工程,发现这些漏洞源于开发中的基础性错误。
为了验证用户访问某页面是否需要身份验证,PAN-OS管理界面会检查请求中的X-Pan-Authcheck头部值是否设置为on或off。Nginx代理服务器负责将请求转发至托管Web应用的Apache服务器,并根据请求路径自动将X-Pan-Authcheck设置为on。在某些情况下(例如访问/unauth/目录),X-Pan-Authcheck会被设置为off,以允许无需身份验证访问。然而,除了/unauth/之外的所有路径,其头部值均应为on,以确保用户被重定向至登录页面。
但watchTowr的研究人员发现,uiEnvSetup.php的一个重定向脚本期望HTTP_X_PAN_AUTHCHECK值为off。如果请求中主动设置该值,服务器将直接接受。
研究人员在报告中写道:“只需要将X-PAN-AUTHCHECKHTTP请求头部值设置为off,服务器就会轻松绕过身份验证?!面对这样的设计,谁还能不感到震惊?”
第二个漏洞同样简单。攻击者可以将shell命令作为用户名传递至名为AuditLog.write()的函数,而该函数会将注入的命令传递至pexecute()执行。  
实际上,这一问题的核心在于另一个功能,而研究人员认为这个功能本身极为危险。
该功能允许Palo Alto Panorama设备指定要模拟的用户和角色,无需提供密码或通过双因素身份验证,即可生成一个完全认证的PHP会话ID。  
综合来看,这一设计使攻击者可以将shell代码作为用户名字段的一部分,模拟特定用户和角色,然后通过AuditLog.write()传递至pexecute(),最终在底层操作系统上执行代码。
研究人员总结道:“令人震惊的是,这两个漏洞竟然存在于生产设备中,且通过Palo Alto设备内部复杂的shell脚本拼凑形成。


缓解措施


除了及时更新防火墙至最新补丁版本外,管理员还应限制对管理界面的访问,仅允许可信的内部IP地址访问。管理界面也可以隔离至专用管理VLAN,或通过配置跳板服务器访问,这需要额外的身份验证。
将PAN-OS管理界面暴露于互联网是极高风险的行为。这并非第一次在此类设备中发现远程代码执行漏洞,也可能不是最后一次。今年早些时候,Palo Alto Networks修复了另一个PAN-OS远程代码执行零日漏洞(CVE-2024-3400),该漏洞遭到国家级威胁行为者利用。
Palo Alto Networks的威胁狩猎团队正追踪CVE-2024-0012和CVE-2024-9474的攻击活动,并将其命名为“月顶行动”(Operation Lunar Peak)。
该团队指出:“主要攻击流量来自一些已知用于代理/隧道匿名 VPN 服务的 IP 地址。后续利用活动包括交互式命令执行以及在防火墙上部署恶意软件(例如 webshell)。”


参考资料:csoonline.com


推荐阅读




点击下方卡片关注我们,
带你一起读懂网络安全 ↓


 http://mp.weixin.qq.com/s?__biz=MzI4NDY2MDMwMw==&mid=2247513156&idx=1&sn=4ff7c148a1693c0de1be122e65851155
安全内参
《安全内参》是专注于网络安全产业发展和行业应用的高端智库平台,致力于成为网络安全首席知识官。曾用名“互联网安全内参”。投稿\x26amp;合作请邮件联系 anquanneican#163.com
 最新文章
网安巨头Palo Alto全球数千防火墙被攻陷:因开发低级错误造成零日漏洞
卡巴斯基:2025年犯罪软件和金融网络威胁趋势预测
美国会拟立法:小微企业实施网络安全合规可抵免税费
警惕新型手法!俄黑客远程入侵美国企业WiFi网络进入内网
国家网络安全通报中心发布重点防范境外恶意网址和恶意IP (二)
勒索攻击有多难恢复?这家万亿巨头花了9个月才恢复业务系统
美军研发并推出网络威胁监控和检测创新工具
苹果官方警告:零日漏洞攻击瞄准Mac电脑用户
美国国土安全部发布《关键基础设施中人工智能的角色与责任框架》
美监察部门:应建立政府数据安全统一监管机构
2025年,哪家网络安全厂商会IPO?
美全国水务系统存在大量漏洞,可致使上亿人供水中断
瑞典发布数字化备战指南,强调网络安全和心理建设
因泄露超23.5万患者数据,地方医疗机构赔偿超千万元
美国专家分析特朗普第二任期网络安全政策走势趋向
算力网络数据安全保护框架研究
人均最高7.2万元!知名律所因泄露用户个人信息赔偿超5700万元
工信部:关于防范SteelFox恶意软件的风险提示
网络攻击扰乱美国超市药房运营,超2000家门店受影响
意大利如何成为全球间谍软件中心?
多国警告:零日漏洞攻击暴涨已成为网空新常态
网络攻击致使英国司法部囚车追踪报警系统瘫痪
以色列支付龙头遭DDoS攻击,各地超市加油站等POS机瘫痪
25家跨国企业数据泄露,MOVEit漏洞引发重大安全危机
全球石油巨头因网络攻击损失超2.5亿元
以人为本的网络安全:将人的因素融入网络安全设计
如何解决网军战备问题?美军专家提出网络部队生成创新方案
一句话让大模型聊天助手主动泄露对话敏感信息
Ollama AI框架被曝严重漏洞,可导致DoS、模型盗窃和中毒
美国知名军工芯片厂商因勒索攻击损失超1.5亿元
德国立法保护白帽黑客行为,此前欧美已有多国修法实施
施耐德电气遭数据勒索:开发平台访问凭证暴露 40GB数据失窃
数据是安全新边界!美国政府发布《联邦零信任数据安全指南》
首次利用大模型发现内存安全零日漏洞 (附大模型挖洞经验)
“整合”全能网络安全平台?全是营销套路
德国大型药品批发商遭勒索攻击,欲扰乱超6000家药房供应
六年来首次停滞!网络安全就业市场提前入冬
首次披露:美国CIA曾针对委内瑞拉实施网络战欲挑动颠覆活动
湖南一IT公司未履行数据安全保护义务被罚5万元
通过外网非法获取公民个人信息1亿余条,一安全公司员工获刑
因供应商被黑,物流巨头DHL配送跟踪系统瘫痪
美国联邦政府2024财年采购超1200亿元网络安全产品服务
美国空军将部署新的“综合防御性网络空间系统”
开源情报显威!利用社交APP实时跟踪美俄法等国总统行踪
苹果悬赏百万美元查找“苹果智能”安全漏洞
一机场集团疑遭勒索软件攻击,旗下13个机场紧急切换备用系统
Pwn2Own 2024爱尔兰黑客大赛:共发放超106万美元奖金
近年最大规模!超1亿美国人医疗隐私数据被盗
中南财经政法大学水卡网址打开竟是“色情网站”?学校回应
河南两公司违反《数据安全法》被罚10万元
 分类
时事
民生
政务
教育
文化
科技
财富
体娱
健康
情感
旅行
百科
职场
楼市
企业
乐活
学术
汽车
时尚
创业
美食
幽默
美体
文摘
 原创标签
时事 社会 财经 军事 教育 体育 科技 汽车 科学 房产 搞笑 综艺 明星 音乐 动漫 游戏 时尚 健康 旅游 美食 生活 摄影 宠物 职场 育儿 情感 小说 曲艺 文化 历史 三农 文学 娱乐 电影 视频 图片 新闻 宗教 电视剧 纪录片 广告创意 壁纸头像 心灵鸡汤 星座命理 教育培训 艺术文化 金融财经 健康医疗 美妆时尚 餐饮美食 母婴育儿 社会新闻 工业农业 时事政治 星座占卜 幽默笑话 独立短篇 连载作品 文化历史 科技互联网
 发布位置
广东 北京 山东 江苏 河南 浙江 山西 福建 河北 上海 四川 陕西 湖南 安徽 湖北 内蒙古 江西 云南 广西 甘肃 辽宁 黑龙江 贵州 新疆 重庆 吉林 天津 海南 青海 宁夏 西藏 香港 澳门 台湾 美国 加拿大 澳大利亚 日本 新加坡 英国 西班牙 新西兰 韩国 泰国 法国 德国 意大利 缅甸 菲律宾 马来西亚 越南 荷兰 柬埔寨 俄罗斯 巴西 智利 卢森堡 芬兰 瑞典 比利时 瑞士 土耳其 斐济 挪威 朝鲜 尼日利亚 阿根廷 匈牙利 爱尔兰 印度 老挝 葡萄牙 乌克兰 印度尼西亚 哈萨克斯坦 塔吉克斯坦 希腊 南非 蒙古 奥地利 肯尼亚 加纳 丹麦 津巴布韦 埃及 坦桑尼亚 捷克 阿联酋 安哥拉