Muhtasari CERT ya Ujerumani imeibua kengele za unyonyaji wa udhaifu uliofungwa kwa minyororo, na kuwataka watumiaji kuzirekebisha haraka huku mamia ya matukio hatarishi yakiendelea kufichuliwa kote nchini na duniani kote. CERT-Bund ilionya katika arifa kwenye X mapema wiki hii: “Mashambulizi tayari yanafanyika. Wateja wanapaswa kulinda ngome zao mara moja.” Onyo hili lilikuwa la udhaifu mkuu, CVE-2024-0012 na CVE-2024-9474, katika PAN-OS ya Palo Alto Networks. Palo Alto alithibitisha kwamba mende hawa wametumiwa kikamilifu katika safu ndogo ya mashambulizi, kufuatilia chini ya bango “Operesheni Lunar Peek.” Athari hizi huruhusu washambuliaji kupata mamlaka ya usimamizi ambayo hayajaidhinishwa na kutekeleza amri kiholela, na hivyo kusababisha hatari kubwa kwa mashirika yanayotumia vifaa vilivyoathiriwa. Ingawa marekebisho yametolewa, uharaka wa kubandika, ufuatiliaji, na kulinda miingiliano ya usimamizi wa ngome haijawahi kuwa kubwa zaidi. Blogu hii hutoa uchanganuzi wa kina wa udhaifu, mifumo ya unyonyaji, na mikakati inayoweza kutekelezeka ya urekebishaji ili kulinda dhidi ya tishio hili linaloendelea. Kuelewa Athari za Athari CVE-2024-0012: Uthibitishaji wa Athari za Bypass Ukali: Athari Muhimu: Huruhusu washambuliaji ambao hawajaidhinishwa na ufikiaji wa mtandao kwa kiolesura cha wavuti cha usimamizi ili: Kupata mapendeleo ya msimamizi wa PAN-OS. Tamper na usanidi. Tumia udhaifu mwingine wa kuongezeka kwa fursa, kama vile CVE-2024-9474. Bidhaa Zilizoathiriwa:PAN-OS 10.2, 11.0, 11.1, na 11.2 programu kwenye PA-Series, VM-Series, ngome za CN-Series, vifaa vya Panorama na WildFire. Kumbuka: Cloud NGFW na Prisma Access haziathiriwi. Chanzo Cha msingi: Ukaguzi wa uthibitishaji unaokosekana kwa utendakazi muhimu ndani ya kiolesura cha wavuti cha usimamizi wa PAN-OS. CVE-2024-9474: Ukali wa Kuongezeka kwa Mapendeleo: Athari Muhimu: Huruhusu wasimamizi walioidhinishwa wa PAN-OS kuongeza upendeleo na kutekeleza amri kiholela kwa ufikiaji wa mizizi. Bidhaa Zilizoathiriwa: Sawa na CVE-2024-0012, na marekebisho ya ziada yanapatikana kwa PAN-OS 10.1. Athari hizi ni hatari hasa zikiwa zimeunganishwa pamoja, hivyo basi kuwezesha utekelezaji wa amri ya mbali ambao haujaidhinishwa kwenye vifaa vinavyoweza kuathirika. Palo Alto alisema kuwa inatathmini kwa ujasiri wa wastani hadi wa juu kwamba mnyororo wa unyonyaji unaofanya kazi CVE-2024-0012 na CVE-2024-9474 unapatikana kwa umma. Unyonyaji Uliozingatiwa katika Operesheni Lunar Peek Timu ya Palo Alto Networks’ Unit 42 inafuatilia kikamilifu shughuli za unyonyaji zinazohusiana na udhaifu huu. Uchunguzi muhimu ni pamoja na: Kivinjari chako hakitumii lebo ya video. Ufikiaji wa Awali: Unyonyaji umelenga violesura vya wavuti vya usimamizi wa PAN-OS vilivyo wazi kwenye mtandao. Mashambulizi mengi yalitoka kwa anwani za IP zinazohusiana na huduma za VPN au seva mbadala zisizojulikana. Shughuli ya Baada ya Unyonyaji: Utekelezaji wa amri shirikishi. Utumaji wa ganda la wavuti, kama vile mzigo uliorejeshwa na SHA256: 3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC7E814668. Uhamisho unaowezekana wa upande na maelewano zaidi ya mali ya mtandao. Shughuli ya Kuchanganua: Kuchanganua kwa mikono na kiotomatiki, kuna uwezekano wa kuchunguza miingiliano iliyo hatarini. Ripoti ya Censys ilipata miingiliano 13,324 ya usimamizi iliyofichuliwa hadharani duniani kote, huku 34% ikipatikana Marekani. Zaidi ya 200 walikuwa katika Ujerumani. CERT ya Ujerumani pia imethibitisha unyonyaji hai, ikiyahimiza mashirika “kulinda ngome zao mara moja.” Urekebishaji na Kupunguza Urekebishaji Mitandao ya Palo Alto imetoa viraka vinavyoshughulikia udhaifu wote wawili. Mashirika lazima yapate matoleo yafuatayo mara moja: PAN-OS 10.2: 10.2.12-h2 au matoleo mapya zaidi. PAN-OS 11.0: 11.0.6-h1 au matoleo mapya zaidi. PAN-OS 11.1: 11.1.5-h1 au matoleo mapya zaidi. PAN-OS 11.2: 11.2.4-h1 au matoleo mapya zaidi. PAN-OS 10.1: 10.1.14-h6 (kwa CVE-2024-9474). Kulinda Violesura vya Usimamizi Mitandao ya Palo Alto inapendekeza sana yafuatayo: Zuia Ufikiaji wa Kiolesura: Ruhusu anwani za IP zinazoaminika pekee au visanduku vilivyoteuliwa ili kufikia kiolesura cha usimamizi. Zima Ufikiaji wa Umma: Zuia ufikiaji wa mtandao kwa kiolesura cha usimamizi kupitia vidhibiti vya kiwango cha mtandao. Washa Uthibitishaji wa Mambo Mbili (2FA): Ongeza safu ya ziada ya usalama kwa ufikiaji wa msimamizi. Ufuatiliaji na Ugunduzi Tumia sheria za utambuzi kwa shells za wavuti na vizalia vingine hasidi. Sampuli ifuatayo ya ganda la wavuti ya PHP ilizingatiwa wakati wa Operesheni Lunar Peek:[“b”]==”iUqPd”) {$z(${“_POST”}[“x”]); }; Tazama shughuli zisizo za kawaida kama vile: Mabadiliko ya usanidi yasiyotambulika. Akaunti mpya za msimamizi au zinazotiliwa shaka. Kumbukumbu za utekelezaji wa amri zinazoonyesha ufikiaji usioidhinishwa. Uwekaji Upya Kiwandani Iliyoimarishwa (EFR) Mashirika yanayotambua ushahidi wa maelewano yanapaswa: Kuondoa vifaa vilivyoathiriwa nje ya mtandao mara moja. Tekeleza Uwekaji Upya wa Kiwanda Ulioboreshwa (EFR) kwa ushirikiano na usaidizi wa Palo Alto Networks. Sanidi upya kifaa ukitumia programu dhibiti iliyosasishwa na sera salama za usimamizi. Viashiria vya Upatanishi (IOCs) Anwani za IP Zinazozingatiwa katika Uchanganuzi na Matumizi Vyanzo: 41.215.28[.]241 45.32.110[.]123 103.112.106[.]17 104.28.240[.]123 182.78.17[.]137 216.73.160[.]186 Wawakilishi wa Muigizaji wa Tishio: 91.208.197[.]167 104.28.208[.]123 136.144.17[.]146 136.144.17[.]149 136.144.17[.]154 136.144.17[.]158 136.144.17[.]161 136.144.17[.]164 136.144.17[.]166 136.144.17[.]167 136.144.17[.]170 136.144.17[.]176 136.144.17[.]177 136.144.17[.]178 136.144.17[.]180 173.239.218[.]248 173.239.218[.]251 209.200.246[.]173 209.200.246[.]184 216.73.162[.]69 216.73.162[.]71 216.73.162[.]73 216.73.162[.]74 Vipengee Vibaya vya Upakiaji wa Heshi ya Shell ya wavuti (mzigo wa malipo wa ganda la wavuti PHP umeshuka kwenye ngome iliyoathiriwa – SHA256): 3C5F9034C86CB1952AA5BB07B4F77CE7D8BB5CC9FE5C029A32C72ADC68E814. Marejeleo: https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-291133-1032 https://www.bsi.bund.de/SharedDocs/Cybersicherheitswarnungen/DE/2024/2024-291133-1032.pdf?__blob=publicationFile&v=5 https://unit42.paloaltonetworks.com/cve-2024-cve00 -2024-9474 Inayohusiana
Leave a Reply