Palo Alto Networks ได้ยืนยันว่าช่องโหว่ Zero-Day กำลังถูกใช้ในการโจมตี หลังจากตรวจสอบข้อกล่าวหาเกี่ยวกับช่องโหว่การเรียกใช้โค้ดระยะไกลในไฟร์วอลล์
หลังจากแจ้งให้ลูกค้าทราบว่ากำลังตรวจสอบข้อกล่าวหาเกี่ยวกับช่องโหว่การเรียกใช้โค้ดระยะไกลในไฟร์วอลล์ Palo Alto Networks ได้ยืนยันเมื่อวันศุกร์ว่าช่องโหว่ Zero-Day ใหม่กำลังถูกใช้ในการโจมตี
ยักษ์ใหญ่ด้านความปลอดภัยไซเบอร์ได้เผยแพร่คำแนะนำเมื่อวันที่ 8 พฤศจิกายน โดยเรียกร้องให้ลูกค้าเพิ่มความปลอดภัยให้กับการเข้าถึงอินเทอร์เฟซการจัดการ PAN-OS หลังจากมีข้อกล่าวหาเกี่ยวกับช่องโหว่ดังกล่าว
ตอนแรก Palo Alto Networks ระบุว่ายังไม่มีหลักฐานบ่งชี้ว่าช่องโหว่ Zero-Day กำลังถูกใช้ แต่ในวันศุกร์บริษัทได้อัปเดตคำแนะนำว่า “มีการสังเกตกิจกรรมของผู้คุกคามที่ใช้ประโยชน์จากช่องโหว่การเรียกใช้คำสั่งจากระยะไกลโดยไม่ต้องยืนยันตัวตน บนอินเทอร์เฟซการจัดการไฟร์วอลล์บางตัวที่เชื่อมต่ออินเทอร์เน็ต”
ยังไม่ชัดเจนว่าช่องโหว่นี้ถูกค้นพบได้อย่างไร ใครเป็นผู้ใช้ประโยชน์ และเป้าหมายการโจมตีคือใคร
ช่องโหว่นี้ยังไม่ได้รับรหัส CVE แต่มีคะแนน CVSS อยู่ที่ 9.3 ซึ่งจัดอยู่ในระดับ “ร้ายแรง”
Palo Alto แจ้งลูกค้าว่ากำลังทำงานกับการออกแพตช์และการป้องกันการโจมตี ซึ่งคาดว่าจะปล่อยในเร็วๆ นี้
ในระหว่างนี้ ลูกค้าควรตั้งค่าการเข้าถึงอินเทอร์เฟซการจัดการไฟร์วอลล์ให้สามารถเข้าถึงได้เฉพาะจาก IP ที่เชื่อถือได้และไม่เชื่อมต่อกับอินเทอร์เน็ต
“ไฟร์วอลล์ส่วนใหญ่ได้ปฏิบัติตามแนวทางปฏิบัติที่ดีที่สุดของ Palo Alto Networks และอุตสาหกรรมอยู่แล้ว” Palo Alto Networks กล่าว
บริษัทตั้งข้อสังเกตว่า “หากการเข้าถึงอินเทอร์เฟซการจัดการถูกจำกัดไว้เฉพาะ IP ที่เชื่อถือได้ ความเสี่ยงของการถูกโจมตีจะลดลงอย่างมาก เนื่องจากการโจมตีใดๆ จำเป็นต้องเข้าถึง IP เหล่านั้นก่อน”
Palo Alto เชื่อว่าผลิตภัณฑ์ Prisma Access และ Cloud NGFW ไม่ได้รับผลกระทบจากช่องโหว่นี้
นอกจากนี้ยังมีช่องโหว่ในผลิตภัณฑ์อื่นของ Palo Alto ที่ถูกใช้โจมตีในช่วงไม่กี่วันที่ผ่านมา โดยหน่วยงาน CISA ของสหรัฐฯ ระบุว่าทราบถึงช่องโหว่สามรายการใน Palo Alto Networks Expedition ที่ถูกใช้ในการโจมตีจริงแล้ว
Credit: Securityweek.com
