據(jù)相關結果顯示，大約有2000臺Palo Alto Networks設備在一場利用新披露的安全漏洞的活動中被入侵，這些漏洞正在野外受到積極利用。根據(jù)Shadowserver Foundation提供的統(tǒng)計數(shù)據(jù)，大多數(shù)感染報告來自美國（554例）和印度（461例），其次是泰國（80例）、墨西哥（48例）、印度尼西亞（43例）、土耳其（41例）、英國（39例）、秘魯（36例）和南非（35例）。Censys本周早些時候透露，他們已識別出13,324個公開暴露的下一代防火墻（NGFW）管理界面，其中34%的暴露位于美國。需要注意的是，并非所有暴露的主機都必然會受攻擊。

有問題的缺陷CVE-2024-0012（CVSS 評分：9.3）和 CVE-2024-9474（CVSS 評分：6.9）是身份驗證繞過和權限提升的組合，可能允許不良行為者執(zhí)行惡意操作，包括修改配置和執(zhí)行任意代碼。

何為更有效的應對措施

Palo Alto Networks 表示正在以 Operation Lunar Peek 的名義跟蹤最初對漏洞的零日漏洞利用，他們正在被武器化以實現(xiàn)命令執(zhí)行并將惡意軟件（例如基于 PHP 的 Web shell）投放到被黑客入侵的防火墻上。

網(wǎng)絡安全供應商還說，針對安全漏洞的網(wǎng)絡攻擊可能會在將它們組合的漏洞利用可用后升級。為此，以中等到高度的置信度評估鏈接 CVE-2024-0012 和 CVE-2024-9474 的功能性漏洞是否公開可用，這將允許更廣泛的威脅活動。此外，他們已經(jīng)觀察到手動和自動掃描活動，用戶需盡快應用最新的修復程序，并根據(jù)推薦的最佳實踐部署指南安全訪問管理界面。尤其包括限制僅受信任的內部 IP 地址的訪問，以防止來自 Internet 的外部訪問。

用于丟棄Sliver 和Crypto 礦工的PAN 缺陷

Palo Alto Networks 最新披露，受感染設備的實際數(shù)量小于報告的數(shù)量，因為后者僅顯示暴露于Internet 管理界面的防火墻。除了與受影響的客戶合作外，其大多數(shù)客戶已經(jīng)遵循行業(yè)最佳實踐并保護其管理界面，只有不到 0.5% 的防火墻具有暴露于互聯(lián)網(wǎng)的界面。

云安全公司 Wiz透露，在一周前發(fā)布有效的概念驗證POC 漏洞后，在野外的漏洞利用嘗試“急劇增加”，并且觀察到威脅行為者將漏洞武器化，以投放 Web shell、Sliver 植入物和加密礦工。

參考資料：https://thehackernews.com/2024/11/warning-over-2000-palo-alto-networks.html