Nelle ultime settimane, il panorama della sicurezza informatica ha affrontato una grave minaccia: 2000 firewall di Palo Alto Networks sono stati compromessi in seguito ad attacchi mirati a due vulnerabilità 0-day recentemente corrette.
Questi attacchi evidenziano il pericolo costante che le organizzazioni devono affrontare nel proteggere le loro infrastrutture critiche.
Vulnerabilità coinvolte
Palo Alto Networks ha rilasciato aggiornamenti di sicurezza per correggere le due vulnerabilità zero-day attivamente sfruttate nei suoi Next-Generation Firewalls (NGFW):
CVE-2024-0012: una vulnerabilità di bypass dell’autenticazione nell’interfaccia di gestione web di PAN-OS che consente agli attaccanti di ottenere privilegi amministrativi senza autenticazione. Gli attaccanti possono sfruttarla per ottenere privilegi amministrativi completi sul dispositivo.
CVE-2024-9474: pubblicata solo pochi giorni fa, questa vulnerabilità permette l’esecuzione remota di comandi con privilegi di root sul firewall. Il legame tra queste due vulnerabilità è stato sfruttato in maniera combinata, aumentando significativamente l’impatto dell’attacco.
Attacchi in corso e impatti
Queste vulnerabilità sono state inizialmente evidenziate l’8 novembre, quando Palo Alto Networks ha consigliato ai clienti di limitare l’accesso ai propri firewall. Nonostante questi avvisi, il monitoraggio delle minacce ha rilevato oltre 8.700 interfacce di gestione PAN-OS esposte.
La Cybersecurity and Infrastructure Security Agency (CISA) degli Stati Uniti ha aggiunto entrambe le vulnerabilità al suo Catalogo delle Vulnerabilità Sfruttate e ha richiesto alle agenzie federali di correggere i loro sistemi entro il 9 dicembre.
In precedenza, la CISA aveva anche avvertito di attacchi che sfruttano CVE-2024-5910, una vulnerabilità di autenticazione mancante nello strumento di migrazione della configurazione del firewall Palo Alto Networks Expedition, una falla corretta a luglio.
Secondo Palo Alto Networks, gli attacchi si concentrano su un numero limitato di interfacce di gestione dei dispositivi, ma la situazione è rapidamente peggiorata. Sono stati identificati oltre 2700 dispositivi PAN-OS vulnerabili. Tra questi, 2000 firewall risultano già compromessi.
Gli attaccanti, una volta ottenuto accesso, stanno implementando malware e eseguendo comandi malevoli, indicando che una catena di exploit ben definita è già in circolazione. Questo rapido sviluppo rappresenta una minaccia significativa per aziende di ogni settore.
Azioni da fare
Palo Alto Networks ha emesso raccomandazioni urgenti ai propri clienti:
- Limitare l’accesso alle interfacce di gestione alle sole reti interne con indirizzi IP fidati.
- Aggiornare immediatamente i dispositivi vulnerabili con le patch più recenti.
Maggiori dettagli sulle azioni consigliate sono disponibili sul blog ufficiale di Palo Alto Networks Unit42.
Lezioni imparate
- La rapidità è essenziale. L’intervallo di tempo tra la scoperta di una vulnerabilità e la sua correzione deve essere il più breve possibile.
- Segmentazione della rete. Limitare l’accesso ai dispositivi critici alle sole reti fidate è una misura fondamentale per prevenire exploit simili.
- Monitoraggio continuo. Le organizzazioni devono utilizzare strumenti avanzati di monitoraggio per rilevare attività sospette su dispositivi critici.
Questo evento sottolinea che la sicurezza informatica non è una condizione permanente, ma un processo continuo. Implementare misure proattive, monitorare costantemente le minacce emergenti e reagire tempestivamente sono i pilastri per proteggere le infrastrutture aziendali.
Fonti
- Palo Alto Networks – CVE-2024-0012
- Palo Alto Networks – CVE-2024-9474
- Unit42 Blog
- Shadowserver Tracking
Analisi di Vasily Kononov – Threat Intelligence Lead, CYBEROO