A Palo Alto Networks fertőzöttségi indikátorokat (IoC-kat) tett közzé, miután megerősítették, hogy egy, a PAN-OS tűzfal-management felületeket érintő nulladik napi sebezhetőség aktívan kihasználás alatt áll.
A vállalat szerint káros tevékenységet észleltek az alábbi IP-címekről, amelyek egyes Palo Alto tűzfalak webes management felületének interneten elérhető IP-címeit célozták:
- 136[.]144[.]17[.]
- 173[.]239[.]218[.]251
- 216[.]73[.]162[.]
Az elemzők kiemelték, hogy ezek az IP-címek harmadik fél VPN-jei is lehetnek, amelyek legitim felhasználói tevékenységet közvetíthetnek más célállomások felé. A Palo Alto Networks frissített közleménye szerint a sebezhetőséget arra használták, hogy webshellt telepítsenek a kompromittált eszközökre, lehetővé téve a támadók számára a tartós távoli hozzáférést. A Prisma Access és Cloud NGFW termékek nem érintettek. Mindeközben három másik kritikus sebezhetőség (CVE-2024-5910, CVE-2024-9463 és CVE-2024-9465) is aktív kihasználás alatt áll a Palo Alto Networks Expedition platformján. Jelenleg nincs bizonyíték arra, hogy ezek az események kapcsolatban lennének.
A vállalat hivatalosan is kiadta a javításokat két olyan sebezhetőségre, amelyeket aktívan kihasználnak:
A fentebb leírt hibákat az alábbi PAN-OS verziókban javították:
- PAN-OS 10.1.14-h6
- PAN-OS 10.2.12-h2
- PAN-OS 11.0.6-h1
- PAN-OS 11.1.5-h1
- PAN-OS 11.2.4-h1, illetve minden későbbi verzióban.
