قال باحثون يوم الجمعة إن قراصنة ذوي قدرة عالية يقومون بتجذير شبكات متعددة للشركات من خلال استغلال ثغرة أمنية شديدة الخطورة في منتج جدار الحماية من Palo Alto Networks.
وقال الباحثون إن الثغرة الأمنية، التي كانت قيد الاستغلال النشط لمدة أسبوعين على الأقل، تسمح للمتسللين دون مصادقة بتنفيذ تعليمات برمجية ضارة بامتيازات الجذر، وهو أعلى مستوى ممكن من الوصول إلى النظام. أدى مدى الاختراق، إلى جانب سهولة الاستغلال، إلى منح الثغرة الأمنية CVE-2024-3400 أقصى تصنيف خطورة يبلغ 10.0. تعد الهجمات المستمرة هي الأحدث في سلسلة من الهجمات التي تستهدف جدران الحماية والشبكات الافتراضية الخاصة وأجهزة نقل الملفات، والتي تعد أهدافًا شائعة بسبب ثروتها من نقاط الضعف وخط الأنابيب المباشر إلى الأجزاء الأكثر حساسية في الشبكة.
من المحتمل أن ينضم آخرون إلى UTA0218 “ذو القدرة العالية”.
يوم الصفر موجود في جدران الحماية PAN-OS 10.2 و/أو PAN-OS 11.0 و/أو PAN-OS 11.1 عندما يتم تكوينها لاستخدام كل من بوابة GlobalProtect والقياس عن بعد للجهاز. لم تقم شركة Palo Alto Networks بعد بتصحيح الثغرة الأمنية ولكنها تحث العملاء المتأثرين على اتباع الحل البديل وإرشادات التخفيف المقدمة هنا. تتضمن النصيحة تمكين معرف التهديد 95187 لأولئك الذين لديهم اشتراكات في خدمة منع التهديدات الخاصة بالشركة والتأكد من تطبيق الحماية من الثغرات الأمنية على واجهة GlobalProtect الخاصة بهم. عندما لا يكون ذلك ممكنًا، يجب على العملاء تعطيل القياس عن بعد مؤقتًا حتى يتوفر التصحيح.
وقالت شركة Volexity، الشركة الأمنية التي اكتشفت هجمات اليوم صفر، إنها غير قادرة حاليًا على ربط المهاجمين بأي مجموعات معروفة سابقًا. ومع ذلك، واستنادًا إلى الموارد المطلوبة والمنظمات المستهدفة، فهي “ذات قدرة عالية” ومن المحتمل أن تكون مدعومة من دولة قومية. حتى الآن، من المعروف أن مجموعة تهديد واحدة فقط – والتي يتتبعها Volexity باسم UTA0218 – تستغل الثغرة الأمنية في هجمات محدودة. وحذرت الشركة من أنه مع علم المجموعات الجديدة بالثغرة الأمنية، CVE-2024-3400، من المحتمل أن تتعرض للاستغلال الجماعي، تمامًا كما حدث في أيام الصفر الأخيرة التي أثرت على المنتجات من أمثال إيفانتي, أطلسي, سيتريكس، و تقدم لديها في الأشهر الأخيرة.
“كما هو الحال مع الكشف العام السابق عن الثغرات الأمنية في هذه الأنواع من الأجهزة، تقدر شركة Volexity أنه من المحتمل أن يتم ملاحظة ارتفاع كبير في الاستغلال خلال الأيام القليلة المقبلة من قبل UTA0218 وربما جهات تهديد أخرى قد تطور عمليات استغلال لهذه الثغرة الأمنية،” باحثو الشركة كتب الجمعة. “سيكون هذا الارتفاع في النشاط مدفوعًا بالحاجة الملحة لإغلاق نافذة الوصول هذه بسبب عمليات التخفيف والتصحيحات التي يتم نشرها. لذلك من الضروري أن تتحرك المؤسسات بسرعة لنشر وسائل التخفيف الموصى بها وإجراء مراجعات التسوية لأجهزتها للتحقق مما إذا كانت هناك حاجة إلى مزيد من التحقيق الداخلي لشبكاتها.
حدثت أولى الهجمات التي شهدتها شركة Volexity في 26 مارس، حيث يشتبه باحثو الشركة في أن UTA0218 كان يختبر الثغرة الأمنية عن طريق وضع ملفات صفر بايت على أجهزة جدار الحماية للتحقق من إمكانية الاستغلال. في 7 أبريل، لاحظ الباحثون أن المجموعة تحاول دون جدوى تثبيت باب خلفي على جدار الحماية الخاص بالعميل. وبعد ثلاثة أيام، نجحت هجمات المجموعة في نشر حمولات ضارة. ومنذ ذلك الحين، قامت مجموعة التهديد بنشر برامج ضارة مخصصة لم يسبق لها مثيل بعد الاستغلال. يسمح الباب الخلفي، المكتوب بلغة بايثون، للمهاجمين باستخدام طلبات الشبكة المعدة خصيصًا لتنفيذ أوامر إضافية على الأجهزة المخترقة.