A Palo Alto Networks confirmou a exploração de uma falha zero-day em seu firewall PAN-OS, uma das soluções de segurança de rede mais utilizadas globalmente. A vulnerabilidade, com um CVSS de 9.3, permite execução remota de comandos sem necessidade de autenticação ou interação do usuário, representando um risco crítico para organizações que utilizam o sistema.
Nova vulnerabilidade em firewall PAN-OS é explorada ativamente
A empresa divulgou indicadores de comprometimento (IoCs), incluindo os seguintes endereços IP de onde se observou atividade maliciosa:
- *136.144.17[.]
- **173.239.218[.]251
- *216.73.162[.]
Contudo, a Palo Alto Networks alertou que esses IPs podem incluir acessos legítimos originados de VPNs terceirizadas, enfatizando a necessidade de análise cuidadosa antes de bloqueios indiscriminados.
Impacto e mitigação
A falha afeta o gerenciamento via interface web do PAN-OS quando acessível pela internet. Em cenários onde o acesso ao painel de gerenciamento é limitado a IPs específicos, a severidade é reduzida para um CVSS de 7.5, já que invasores precisariam acesso prévio aos IPs restritos.
A empresa já havia aconselhado, em 8 de novembro de 2024, a restrição de acesso ao gerenciamento para evitar a exploração do problema, que agora foi confirmado em ataques reais. Apesar disso, não há detalhes sobre os métodos usados pelos invasores ou os alvos atingidos.
Notícias Relacionadas
Fim de uma era
A morte de Darl McBride e o legado polêmico no mundo Linux
Em 16 de setembro de 2024, Darl McBride, ex-CEO da SCO, faleceu após uma luta contra a Esclerose Lateral Amiotrófica (SLA). A notícia, que não gerou grande alarde no mundo do open-source, marca o fim de uma figura que, por muitos anos, representou uma das maiores ameaças ao sistema Linux, especialmente no contexto da famosa […]
Suporte ARM
Microsoft lança ISO do Windows 11 para dispositivos ARM
Microsoft lança a ISO do Windows 11 para dispositivos ARM, facilitando instalação em laptops com Snapdragon e MacBooks M-Series. Agora, com suporte estendido, usuários podem realizar uma instalação limpa em seus dispositivos ARM.
Ações recomendadas
Como ainda não há correção disponível para a vulnerabilidade, as organizações devem imediatamente:
- Restringir o acesso à interface de gerenciamento a um número limitado de IPs confiáveis.
- Monitorar o tráfego de rede em busca dos IoCs mencionados.
- Aplicar outras medidas de defesa em camadas, como segmentação de rede e uso de firewalls adicionais para proteger o painel de controle.
Enquanto isso, a Palo Alto Networks está investigando a falha e promete atualizações futuras. É importante observar que outros produtos da empresa, como Prisma Access e Cloud NGFW, não são afetados por esta vulnerabilidade.
Falhas adicionais e contexto geral
Além dessa ameaça zero-day, a CISA relatou a exploração ativa de outras vulnerabilidades críticas no Palo Alto Networks Expedition (CVE-2024-5910, CVE-2024-9463, e CVE-2024-9465). Embora ainda não haja evidências de relação entre os ataques, o cenário reforça a urgência de aprimorar a segurança cibernética de todas as infraestruturas que utilizam soluções Palo Alto.
Proteger sistemas críticos deve ser uma prioridade, especialmente diante de uma ameaça que continua evoluindo.
