Redazione RHC : 18 Aprile 2024 10:46
È apparso online un exploit per la vulnerabilità critica CVE-2024-3400 (10 punti sulla scala CVSS). Tale exploit colpisce i firewall di Palo Alto Networks che eseguono PAN-OS. Il bug è già sotto sfruttamento consentendo ad aggressori non autenticati di eseguire codice arbitrario con privilegi di root.
Ricordiamo che CVE-2024-3400 è diventato noto all’inizio di questo mese. Secondo il produttore, tutti i dispositivi con versioni PAN-OS 10.2, 11.0 e 11.1 con gateway GlobalProtect e telemetria abilitati erano vulnerabili al bug. Altre versioni di PAN-OS, firewall cloud e dispositivi Prisma Access non sono interessati dal problema.
Sebbene Palo Alto Networks abbia già iniziato a rilasciare patch per i suoi firewall, la vulnerabilità è stata sfruttata dagli hacker dal 26 marzo 2024. Tale falla è stata usata come backdoor utilizzando il malware Upstyle. Un gruppo con nome in codice UTA0218 è associato a questa attività.
Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)
Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure banalmente un curioso di qualsiasi età, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Secondo Shadowserver, ogni giorno vengono scoperti in Internet più di 156.000 firewall con PAN-OS, anche se non si sa quanti siano vulnerabili. Secondo il ricercatore sulla sicurezza informatica Yutaka Sejiyama, circa 82.000 firewall sono vulnerabili agli attacchi CVE-2024-34000 e circa il 40% di essi si trova negli Stati Uniti.
Appena un giorno dopo che Palo Alto Networks ha iniziato a rilasciare gli hotfix per CVE-2024-3400, gli esperti di WatchTowr Labs hanno pubblicato un’analisi dettagliata della vulnerabilità e un exploit PoC che può essere utilizzato per eseguire comandi shell su firewall senza patch.
“Iniettiamo il payload di command injection nel valore del cookie SESSID, che (supponendo che GlobalProtect e la telemetria siano abilitati sul dispositivo Palo Alto) viene quindi concatenato in una stringa e infine eseguito come comando shell”, ha affermato WatchTowr Labs.
A peggiorare le cose, Palo Alto Networks ha aggiornato ieri le sue raccomandazioni e ha avvertito che le misure protettive precedentemente descritte erano inefficaci.
“Le versioni precedenti di questo post elencavano la disabilitazione della telemetria del dispositivo come misura di sicurezza aggiuntiva. La disabilitazione della telemetria del dispositivo non è più una misura di sicurezza efficace. Non è necessario che la telemetria del dispositivo sia abilitata affinché i firewall che eseguono PAN-OS siano vulnerabili agli attacchi relativi a questa vulnerabilità”. Si legge nel messaggio aggiornato di Palo Alto Networks.
Il ransomware HellCat è apparso nella seconda metà del 2024 e ha attirato l’attenzione degli analisti grazie all’umorismo delle sue dichiarazioni pubbliche. Ricordiamo l’...
Il 28 marzo 2025, un utente del noto forum di cybersecurity BreachForums, con lo pseudonimo ThinkingOne, ha rivelato quello che potrebbe essere il più grande data breach mai registrato nel mondo ...
Quando Jeffrey Goldberg dell’Atlantic ha fatto trapelare accidentalmente un messaggio di gruppo privato di alti funzionari statunitensi su un possibile attacco contro gli Houthi nello Yemen, ha...
Ogni mese diventa sempre più evidente: le password non funzionano più. Gli hacker hanno imparato a eludere anche la protezione a due fattori sfruttando sessioni rubate e milioni di dati comp...
La pseudonimizzazione è una tecnica di protezione dei dati definita dall’art. 4(5) del GDPR. Consiste nella trasformazione dei dati personali in modo tale che non possano più essere a...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006