image

'Tweeduizend firewalls Palo Alto Networks geïnfecteerd met malware'

vrijdag 22 november 2024, 08:22 door Redactie, 2 reacties

Meer dan tweeduizend firewalls van Palo Alto Networks zijn via twee recente kwetsbaarheden geïnfecteerd met malware, zo stelt The Shadowserver Foundation op basis van eigen onderzoek. In Nederland gaat om 29 firewalls, aldus de stichting die zich met de bestrijding van cybercrime bezighoudt en geregeld online scans uitvoert naar kwetsbare systemen.

De twee kwetsbaarheden bevinden zich in PAN-OS, het besturingssysteem dat op firewalls van Palo Alto Networks draait. Het bedrijf waarschuwde vorige week voor een actief misbruikte kwetsbaarheid in de managementinterface van PAN-OS, Via kwetsbaarheid CVE-2024-0012, een authentication bypass in de managementinterface, kan een ongeauthenticeerde aanvaller PAN-OS adminrechten krijgen en als beheerder allerlei acties uitvoeren.

Maandag kwam Palo Alto Networks met een beveiligingsupdate, alsmede de waarschuwing voor een tweede actief misbruikte kwetsbaarheid (CVE-2024-9474) die in combinatie met CVE-2024-0012 wordt gebruikt. Hoelang het misbruik al plaatsvindt is onbekend. Via de twee beveiligingslekken installeren aanvallers een webshell om toegang tot de firewall te behouden en verdere aanvallen uit te voeren.

Inmiddels is exploitcode om misbruik van de kwetsbaarheden te maken online verschenen, wat tot breder misbruik kan leiden, aldus Palo Alto Networks. Het bedrijf heeft gisterenavond het eigen beveiligingsbulletin met meer Indicators of Compromise (Ioc) uitgebreid, waarmee organisaties kunnen kijken of ze doelwit van de aanvallen zijn geweest.

Reacties (2)
Vandaag, 10:54 door Anoniem
Oud nieuws.
Vandaag, 12:16 door Anoniem
Best practice is to use the out-of-band (mgt) port for the firewall administrative tasks. We understand that there are some scenarios where, instead of using the mgmt-port, one would configure one of the data ports for mgmt access to the firewall. Whatever your setup is, it is key to make it a hard target for the attackers and protect the firewall/Panorama and NEVER enable access to your mgmt interface from the internet or from other untrusted zones. This applies whether you use the dedicated management port (MGT) or you configure a data port as your management interface.

hoe kunnen er al dan 2000 gep0nwed zijn als deze firewalls allemaal door 30 voudig gecertificeerde mensen geinstalleerd worxen?
Reageren
Ondersteunde bbcodes
Bold: [b]bold text[/b]
Italic: [i]italic text[/i]
Underline: [u]underlined text[/u]
Quote: [quote]quoted text[/quote]
URL: [url]https://www.security.nl[/url]
Config: [config]config text[/config]
Code: [code]code text[/code]

Je bent niet en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.