انتشار به‌روزرسانی امنیتی شرکت پالو آلتو درباره آسیب‌پذیری فایروال

به گزارش کارگروه امنیت خبرگزاری سایبربان، این شرکت ابتدا در تاریخ ۸ نوامبر مشاوره‌ای درباره این مشکل منتشر کرد و سپس در روز پنج‌شنبه آن را به‌روزرسانی کرد تا تأیید کند که اکنون این آسیب‌پذیری مورد سوءاستفاده قرار گرفته است.

این باگ که با شناسه **PAN-SA-2024-0015** معرفی شده، به بالاترین سطح اضطرار ارتقا یافته و امتیاز شدتی برابر با ۹.۳ از ۱۰ دریافت کرده است.

این مشکل، رابط‌های مدیریتی فایروال نسل بعدی (NGFW) این شرکت را تحت تأثیر قرار می‌دهد و می‌تواند به مهاجمان اجازه دهد که سیستم‌ها را به‌طور کامل تحت کنترل بگیرند.

محققان می‌گویند که هزاران نصب از این محصول ممکن است در معرض خطر باشند.

پالو آلتو نتوورکس (Palo Alto Networks) اعلام کرد:

فعالیت‌های تهدیدآمیزی مشاهده شده است که از یک آسیب‌پذیری اجرای دستورات از راه دور بدون احراز هویت علیه تعداد محدودی از رابط‌های مدیریتی فایروال که در معرض اینترنت قرار دارند، سوءاستفاده می‌کنند. ما هنوز در حال بررسی این فعالیت‌ها هستیم. ما به‌شدت توصیه می‌کنیم که مشتریان اطمینان حاصل کنند دسترسی به رابط مدیریتی طبق دستورالعمل‌های بهترین شیوه‌های پیشنهادی ما پیکربندی شده باشد. به‌ویژه توصیه می‌کنیم که دسترسی به این رابط فقط از طریق آی پی های داخلی معتبر و نه از اینترنت ممکن باشد.

این شرکت اشاره کرد که اکثریت قریب به اتفاق فایروال‌ها از این توصیه پیروی می‌کنند.

روز دوشنبه، سازمان غیرانتفاعی امنیت سایبری شادو سرور (Shadowserver Foundation) در بریتانیا اعلام کرد که حدود ۱۱ هزار آدرس آی پی در معرض این آسیب‌پذیری قرار دارند، که صدها مورد از آن‌ها در ایالت‌های مختلف آمریکا شناسایی شده‌اند.

تا روز جمعه، این تعداد به حدود ۸,۷۰۰ کاهش یافته بود.

برخی از محققان اینترنتی تعداد سیستم‌های در معرض خطر را حتی بالاتر و حدود 31 هزار تخمین زده‌اند.

پالو آلتو نتوورکس اعلام کرد که اگر دسترسی آی پی محدود شود، شدت این مشکل به طور قابل توجهی کاهش می‌یابد، زیرا هر حمله احتمالی ابتدا به دسترسی سطح بالا به این آی پی ها نیاز خواهد داشت.

در این مشاوره، اطلاعات دقیقی درباره نحوه شناسایی رابط‌های مدیریتی در معرض اینترنت که نیاز به رفع آسیب دارند، ارائه شده است.

این شرکت همچنین اشاره کرد که می‌تواند رابط‌های عمومی فایروال نسل بعدی را از طریق اسکن روتین و غیرمخرب اینترنت با دقت بالایی شناسایی کند.

این شرکت افزود:

بر اساس آدرس‌های آی پی شناسایی شده، ما می‌توانیم یک دستگاه در معرض اینترنت را با تطبیق آی پی با شماره سریال در سوابق داخلی به یک مشتری خاص نسبت دهیم.

این شرکت در حال اطلاع‌رسانی به مشتریان است که آیا برخی از دستگاه‌های آن‌ها شناسایی شده‌اند یا خیر، اما هشدار داد که این لیست ممکن است کامل نباشد، بنابراین لطفاً مطمئن شوید که همه دستگاه‌های شما به درستی پیکربندی شده‌اند.

مشاوره همچنین شامل انتشار اصلاحیه برای این باگ و ارائه اطلاعات بیشتر درباره پیشگیری از تهدیدها خواهد بود.

این شرکت اعلام کرد:

ما در حال حاضر اطلاعات کافی درباره نشانه‌های نفوذ برای به اشتراک گذاشتن نداریم. اگر رابط مدیریتی به اینترنت متصل بوده، توصیه می‌کنیم مشتریان به دنبال فعالیت‌های مشکوک مانند تغییرات ناشناخته در پیکربندی یا کاربران جدید باشند.

آژانس امنیت سایبری و زیرساخت ایالات متحده (CISA) نیز روز جمعه هشداری درباره این موضوع منتشر کرد و یادآور شد که پالو آلتو نتوورکس اخیراً از ادعاهایی مبنی بر وجود یک آسیب‌پذیری اجرای کد از راه دور تأیید نشده آگاه شده است.

یک سازمان امنیتی مرتبط با صنعت آب و فاضلاب نیز به اعضای خود درباره این مشکل هشدار داد.

چندین مشتری پالو آلتو نتوورکس به پستی در دارک‌وب اشاره کردند که اکنون حذف شده است و در آن یک آسیب‌پذیری روز صفر فروخته می‌شد که دستگاه‌های مورد نظر را هدف قرار داده بود.

این مشاوره در همان هفته‌ای منتشر شد که آژانس امنیت سایبری و زیرساخت ایالات متحده درباره چندین آسیب‌پذیری دیگر در محصولات پالو آلتو نتوورکس که توسط هکرها مورد سوءاستفاده قرار گرفته‌اند، هشدار داده بود.