Palo Alto Networks waarschuwt voor actief aangevallen zerodaylek in firewalls
Palo Alto Networks waarschuwt organisaties voor een actief aangevallen zerodaylek waardoor aanvallers de firewalls van het bedrijf kunnen overnemen. Een update is nog niet beschikbaar, wel een mitigatie. De kwetsbaarheid, aangeduid als CVE-2024-3400, maakt het mogelijk voor een ongeautenticeerde aanvaller om op de firewall willekeurige code met rootrechten uit te voeren. De impact van het zerodaylek is op een schaal van 1 tot en met 10 beoordeeld met een 10.0. Misbruik zou al zeker sinds 26 maart plaatsvinden.
Securitybedrijf Volexity laat weten dat het op 10 april zeroday-aanvallen waarnam waarbij de kwetsbaarheid werd misbruikt. Bij de aanval plaatste de aanvaller een reverse shell en downloadde aanvullende tools op de firewall, alsmede een backdoor. Tevens werden configuratiegegevens van de firewall geëxporteerd en gebruikte de aanvaller de firewall als springplank om zich lateraal door het netwerk van de aangevallen organisaties te bewegen.
Bij de aangevallen organisaties werd Windows-gerelateerde data gestolen, alsmede inloggegevens, cookies en andere data uit Google Chrome en Microsoft Edge. Via deze data kon de aanvaller de browser master key stelen en gevoelige gegevens ontsleutelen, zoals opgeslagen inloggegevens. "Het aanvallen van edge-apparaten blijft een populaire aanvalsvector voor aanvallers die tijd en middelen hebben om nieuwe kwetsbaarheden te ontdekken", aldus Volexity. Dat stelt op basis van loggegevens dat misbruik al sinds 26 maart plaatsvindt.
In een aanvullende analyse laat Palo Alto Networks weten dat op dit moment één aanvaller misbruik van de zeroday maakt, maar het is de verwachting dat andere aanvallers nu zullen volgen. Een beveiligingsupdate is nog niet beschikbaar gemaakt, wel twee mitigaties. Een daarvan betreft het uitschakelen van de telemetrie, de ander het inschalen van 'Threat ID 95187'.
Opa maak je trots als je alle man pages weet te vinden en er verschillende uit je hoofd kent.
Ik heb eens zitten zoeken naar historische bronnen over de eerste zeroday. Werd ergens beweerd dat de eerste in 2006 was met de stuxnethack. Terwijl ik het woord al ken uit begin jaren '90 toen het grote publiek op het web mocht. Ook toen developers stommiteitjes en blinde vlekken nog redelijk te overzien waren. De risico's ook veel kleiner waren omdat netwerken nog traag waren. En in het algemeen veel beter werd getest in plaats van over de muur gooien en we zien wel. Zeroday is een eufemisme geworden voor "verborgen gebreken" en een excuuswoord om je vaak betalende gebruikers als gratis testplatform te misbruiken. En die dan te misleiden met een woord als zeroday. Zo van ja dat konden wij ook niet weten want het is een zeroday. Dus er kan iemand de schuld van hebben maar wij zeker niet. Het is pas zero days bekend dus hoe konden wij dat gisteren al weten dan?
Ik lees veel te vaak zeroday terwijl het gewoon een verborgen gebrek is en mogelijk wanprestatie.
Je moet het zelfde eens proberen met een potje babyvoeding in een supermarkt met een verborgen gebrek en hoe voor schut je dan gaat als winkel en als producent. Ik zie de jumbo of zo al in plaats van een terugroepactie een gooi maar weg actie doen, geld niet terug, kom volgende week maar terug, dan hebben we babyvoer waar de zeroday uit is. Maar die is wel duurder. Want onze schuld was het zeker niet. En het was heel duur om de machine aan te passen om al die glasscherven eruit te halen.
Begin het beestje om te beginnen eens bij de naam te noemen. Dan hebben we er hopelijk later minder last van.
wat voor debielen zitten daar te programmeren, of bestaat de club uit alleen maar NSA medewerkers?
Our vision is a world where each day is safer and more secure than the one before
Nou en ?
De term zero-day betekent 'bug wordt gebruikt voordat de patch / mitigation beschikbaar is' .
Vanaf de slachtoffer-kant is het een geval "je kon er niks aan doen" . Bij bugs die reeds gepatched zijn maar exploited worden bij installaties die achter lopen met patchen is dat anders.
een security device moet toch alleen processen kunnen starten die een valide id en of certificaat hebben?
o geauthenticeerde en meteen root rechten, klinkt wederom als een NSA backdoor.. niet een zeroday... want een level 10 cve en nu nog geen fix???
klinkt meer alsof ze de.3.letter afk. tijd willen geven om hun shit terug te trekken..
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
