Palo Alto Networks为其PAN-OS防火墙中的零日漏洞(CVE-2024-3400)发布了关键补丁。攻击者利用此缺陷部署Python后门，授予root访问权限。立即更新！

为了与时间赛跑，Palo Alto Networks发布了针对严重0day（或零日）漏洞(CVE-2024-3400)的补丁，该漏洞可能导致防火墙遭受网络攻击。

根据Palo Alto Networks的安全公告，该漏洞存在于其PAN-OS操作系统的GlobalProtect功能中，与其处理设备遥测数据的方式有关。

攻击者可以通过制作伪装成遥测数据的恶意有效负载来利用此缺陷。一旦经过防火墙处理，有效负载就可以使用root权限执行任意代码，从而使攻击者能够完全控制设备。

启用GlobalProtect和设备遥测的设备被声明容易受到攻击。针对暴露的物联网(IoT)设备的Shodan搜索引擎揭示了Palo Alto Networks大约41336种可能受影响的暴露于互联网的设备。

SecurityWeek报道称，一些组织已经成为目标的受害者，某些攻击者试图部署新的Python后门Upstyle。

与任何其他安全漏洞一样，这一漏洞也可让黑客利用并建立后门、发起横向攻击、窃取敏感数据并破坏网络运行。威胁参与者还可以创建持久访问点，使用受损的防火墙作为跳板，并获取机密信息的访问权限。

此外，它可能允许黑客完全控制防火墙的功能，从而可能导致网络中断或流量操纵。

好消息是该漏洞相对较快地被识别和修复。安全公司Volexity于2024年3月下旬首次检测到该漏洞，观察到威胁参与者UTA0218远程利用防火墙设备。

研究人员还观察了威胁行为者如何创建反向shell、下载附加工具并导出配置数据以将其用作横向移动的入口点。 Volexity迅速向Palo Alto Networks发出警报，后者发布了安全警报和修补程序来解决PAN-OS版本10.2、11.0和11.1的漏洞。

Palo Alto Networks建议，如果客户无法立即实施基于威胁防护的缓解措施，您仍然可以通过暂时关闭设备遥测来减少漏洞的影响，直到设备更新到解决该问题的PAN-OS版本。

“如果您目前无法应用基于威胁防护的缓解措施，您仍然可以通过暂时禁用设备遥测来减轻此漏洞的影响，直到设备升级到固定的PAN-OS版本。升级后，应在设备上重新启用设备遥测。如果防火墙由Panorama管理，请确保在相关模板（Panorama > 模板）中禁用设备遥测。” ---Palo Alto Networks

根据Volexity的博客文章，零日漏洞利用非常复杂，并且针对特定配置，这表明资源充足、国家支持、目标明确的攻击者可能参与其中。

最初的归因尝试指向拉撒路集团（Lazarus Group），这是一个臭名昭著的黑客组织，据信与朝鲜和变联有关联，其目标是关键基础设施组织。尽管如此，Palo Alto Networks仍敦促所有用户立即更新其PAN-OS软件。