A Palo Alto Networks PAN-OS tűzfalszoftverében található, maximálisan súlyos és aktívan kihasználható sebezhetőséghez már elérhető az exploit.
A CVE-2024-3400 néven nyomon követhető biztonsági hiba lehetővé teszi, hogy hitelesítés nélküli fenyegető szereplők parancsinjekcióval tetszőleges kódot futtassanak root-ként, alacsony komplexitású támadásokban a sebezhető PAN-OS 10.2, PAN-OS 11.0 és PAN-OS 11.1 tűzfalakon, ha az eszköz telemetria és a GlobalProtect (gateway vagy portál) funkció engedélyezve van.
Bár a Palo Alto Networks megkezdte a hotfixek kiadását a támadásoknak kitett, javítatlan tűzfalak védelme érdekében, a sebezhetőséget március 26-a óta nulladik napként kihasználják. Az Upstyle malware segítségével backdoor tűzfalakat épít ki, belső hálózatokra tér át, és adatokat lop egy feltételezhetően állami támogatású, UTA0218 néven nyomon követett fenyegető csoport.
Egy nappal azután, hogy a Palo Alto Networks megkezdte a CVE-2024-3400-as hotfixek kiadását, a watchTowr Labs közzétette a sebezhetőség részletes elemzését és egy PoC exploitot, amellyel shell parancsokat lehet végrehajtani a nem javított tűzfalakon.
A TrustedSec megosztott egy tényleges támadásokban látott exploitot is, amely lehetővé teszi a támadók számára a tűzfal konfigurációs fájljának letöltését.
A Palo Alto Networks frissítette a tanácsadását, és figyelmeztetett, hogy a tanácsadás korábbi verzióiban az eszköz-telemetria letiltása másodlagos kárenyhítési intézkedésként szerepelt, azonban ez már nem bizonyul hatékony módszernek.
A legjobb megoldás a legújabb PAN-OS szoftverfrissítés telepítése, amely kijavítja a sebezhetőséget.
