Palo Alto Networks ออกมาเตือนเกี่ยวกับช่องโหว่ Firewall Hijack

สรุปข้อมูล 

Palo Alto Networks ได้ออกคำเตือนเกี่ยวกับช่องโหว่ที่อาจทำให้ Firewall ของผู้ใช้งานถูกยึดได้ (Firewall Hijack) ในรายงานนี้จะมีช่องโหว่ที่รวมปัญหาต่าง ๆ เช่น การฝังคำสั่งที่เป็นอันตราย (Command Injection), Reflected cross-site scripting (XSS), การจัดเก็บข้อมูลที่สามารถเข้าถึงได้ง่าย (cleartext storage) และการขาดการยืนยันตัวตน (missing authentication) เพื่อเข้าถึงข้อมูลที่ละเอียดอ่อน เช่น ข้อมูลรับรองผู้ใช้ ซึ่งสามารถช่วยเข้าควบคุมบัญชีผู้ดูแลระบบไฟร์วอลล์ได้ โดยช่องโหว่เหล่านี้ได้รับการแก้ไขแล้ว

รายละเอียดช่องโหว่

1. CVE-2024-9463 (คะแนน CVSS 9.9/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถโจมตีแบบ Command Injection ด้วยสิทธิ์ root ใน Expedition แบบไม่ต้องยืนยันตัวตน
   
2. CVE-2024-9464 (คะแนน CVSS 9.3/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้ผู้โจมตีสามารถโจมตีแบบ Command Injection ด้วยสิทธิ์ root ใน Expedition แบบต้องยืนยันตัวตน
3. CVE-2024-9465 (คะแนน CVSS 9.2/10 ความรุนแรงระดับ Critical) เป็นช่องโหว่ที่ทำให้สามารถโจมตีแบบ SQL injection แบบไม่ต้องยืนยันตัวตน ทำให้ผู้โจมตีสามารถเข้าถึงข้อมูลในฐานข้อมูลของ Expedition เช่น รหัสผ่าน ชื่อผู้ใช้ การตั้งค่าอุปกรณ์ และ API Key ของอุปกรณ์ นอกจากนี้ ผู้โจมตียังสามารถสร้างและอ่านไฟล์บนระบบ Expedition ได้
4. CVE-2024-9466 (คะแนน CVSS 8.2/10 ความรุนแรงระดับ High) เป็นช่องโหว่ในการจัดเก็บข้อมูลที่สำคัญเป็นข้อความธรรมดาใน Palo Alto Networks Expedition ที่ทำให้ผู้โจมตีที่ยืนยันตัวตนแล้วสามารถเปิดเผยชื่อผู้ใช้งาน รหัสผ่านและคีย์ API ที่สร้างขึ้นจากข้อมูลรับรองเหล่านั้นได้
5. CVE-2024-9467 (คะแนน CVSS 7.0/10 ความรุนแรงระดับ High) เป็นช่องโหว่ที่ทำให้สามารถโจมตีแบบ Reflected cross-site scripting (XSS) ใน Palo Alto Networks Expedition ทำให้ผู้โจมตีสามารถรัน JavaScript ที่เป็นอันตราย ในบราวเซอร์ของผู้ใช้ Expedition ที่ยืนยันตัวตนแล้ว หากผู้ใช้งานนั้นคลิกลิงก์ที่เป็นอันตราย ส่งผลให้เกิดการโจมตีแบบ Phishing และอาจนำไปสู่การขโมยเซสชันบราวเซอร์ของ Expedition

เวอร์ชันของอุปกรณ์ที่ได้รับผลกระทบ

ผลกระทบจากช่องโหว่ 

การโจมตีผ่านช่องโหว่ใน Firewall ของ Palo Alto Networks ทำให้ผู้โจมตีสามารถเข้าควบคุมระบบได้ ซึ่งส่งผลให้ข้อมูลสำคัญ เช่น ชื่อผู้ใช้ รหัสผ่าน การตั้งค่าอุปกรณ์ และ API Key ถูกเปิดเผยหรือถูกดัดแปลงได้ นอกจากนี้ ผู้โจมตียังสามารถใช้ช่องโหว่เหล่านี้ในการสร้างไฟล์ที่เป็นอันตราย หรือทำให้การทำงานของระบบ Firewall หยุดชะงัก ซึ่งอาจนำไปสู่การรั่วไหลของข้อมูลและการโจมตีแบบ Phishing ที่สามารถขโมยข้อมูลจากผู้ใช้ที่ยืนยันตัวตนแล้วได้อีกด้วย

สรุปการโจมตี 

การโจมตีผ่านช่องโหว่ใน Firewall ของ Palo Alto Networks เกิดขึ้นเมื่อผู้โจมตีใช้ช่องโหว่ในการฝังคำสั่ง SQL injection หรือ Reflected cross-site scripting (XSS) เพื่อเข้าถึงระบบโดยไม่ต้องยืนยันตัวตนหรือการยืนยันตัวตนที่ผิดพลาด ซึ่งทำผู้โจมตีสามารถรันคำสั่งที่เป็นอันตรายเพื่อเปิดเผยข้อมูลสำคัญ เช่น ชื่อผู้ใช้ รหัสผ่าน และ API Key ได้ นอกจากนี้ยังสามารถสร้างหรือ อ่านไฟล์ในระบบ Expedition ส่งผลให้เกิดความเสี่ยงสูงต่อการรั่วไหลของข้อมูลและการโจมตีที่ซับซ้อนยิ่งขึ้น เช่น การโจมตีแบบ ฟิชชิงที่อาจขโมยข้อมูลจากผู้ใช้ที่ลงชื่อเข้าใช้ได้อีกด้วย

คำแนะนำ

• อัปเดต Palo Alto Networks Expedition ให้เป็นเวอร์ชัน 1.2.96 หรือสูงกว่า เพื่อป้องกันการโจมตีผ่านช่องโหว่
  
• จำกัดการสิทธิ์การเข้าถึงระบบ Expedition เฉพาะผู้ใช้งาน หรือเครือข่ายที่ได้รับอนุญาตเท่านั้น
  
• หากไม่ได้ใช้งานระบบ Expedition ให้ทำการปิดซอฟต์แวร์ Expedition
  

แหล่งอ้างอิง

https://www.bleepingcomputer.com/news/security/palo-alto-networks-warns-of-firewall-hijack-bugs-with-public-exploit/

https://security.paloaltonetworks.com/PAN-SA-2024-0010