Palo Alto Networks เตือนช่องโหว่ PAN-OS Firewall ระดับวิกฤต

สรุปข้อมูล 

Palo Alto Networks ออกคำเตือนเกี่ยวกับช่องโหว่ระดับวิกฤตใน PAN-OS Firewall Management Interface ซึ่งเปิดช่องให้ผู้ โจมตีสามารถรันคำสั่งระยะไกลได้โดยไม่ต้องยืนยันตัวตน และพบว่ากำลังถูกโจมตีในขณะนี้ โดยมีการติดตั้ง Web Shells เพื่อเข้าถึงระบบอย่างถาวร ช่องโหว่นี้ส่งผลกระทบต่อ Firewall Management Interfaces ที่เปิดให้เข้าถึงจากอินเทอร์เน็ต ส่งผลให้มีความเสี่ยงต่อความปลอดภัยของระบบเครือข่ายอย่างมาก

รายละเอียดของช่องโหว่ 

ช่องโหว่ที่ค้นพบใน PAN-OS Firewall Management Interface เป็นช่องโหว่แบบ Remote Command Execution (RCE) ที่อนุญาตให้ผู้โจมตีสามารถรันคำสั่งจากระยะไกลได้โดยไม่ต้องยืนยันตัวตนหรือโต้ตอบจากผู้ใช้ มีความร้ายแรงระดับวิกฤตด้วย คะแนน CVSS 9.3 และลดลงเหลือ 7.5 หากมีการจำกัดการเข้าถึงเฉพาะ IP ที่เชื่อถือได้ ช่องโหว่นี้กำลังถูกใช้ในการโจมตีจริง โดยพบว่ามีการติดตั้ง Web Shells บนอุปกรณ์ที่ได้รับผลกระทบ ซึ่งช่วยให้ผู้โจมตีสามารถเข้าถึงระบบได้อย่างต่อเนื่องและเพิ่มความเสี่ยงในการเจาะระบบมากขึ้น

รายละเอียดทางเทคนิค 

ช่องโหว่นี้เกิดจากการเปิด Management Interface บนอุปกรณ์ PAN-OS Firewall โดยไม่มีการกำหนดข้อจำกัดด้านการเข้าถึง เช่น การจำกัดเฉพาะ IP Address ที่เชื่อถือได้ หรือการป้องกันด้วย VPN ทำให้ผู้โจมตีสามารถส่งคำขอ HTTP/HTTPS ที่มีโครงสร้างเฉพาะเพื่อใช้ประโยชน์จากช่องโหว่นี้ในการรันคำสั่งที่เป็นอันตรายบนระบบเป้าหมายการโจมตีดังกล่าวอาจรวมถึงการ ติดตั้ง Web Shells ซึ่งช่วยให้ผู้โจมตีสามารถควบคุมระบบได้อย่างต่อเนื่อง

Web Shells ที่ถูกติดตั้งช่วยให้ผู้โจมตีสามารถดำเนินการเพิ่มเติม เช่น:

• การเข้าถึงข้อมูลสำคัญในระบบ
• การเปลี่ยนแปลงการตั้งค่าหรือโครงสร้างระบบ
• การขยายการโจมตีไปยังระบบหรือเครือข่ายอื่น

• จำกัดการเข้าถึงให้เฉพาะ IP ที่เชื่อถือได้เท่านั้นที่สามารถเข้าถึงระบบจัดการของ PAN-OS
• ติดตามประกาศการอัปเดตซอฟต์แวร์จาก Palo Alto Networks และติดตั้งแพตช์ทันทีเมื่อพร้อมใช้งาน
• ตรวจสอบกิจกรรมที่อาจเกี่ยวข้องกับ IP ที่เป็นอันตราย
• ใช้ Multi-Factor Authentication (MFA) เพื่อลดโอกาสในการเข้าถึงข้อมูลที่ไม่ได้รับอนุญาต
• ตรวจสอบไฟล์ที่ผิดปกติอย่างสม่ำเสมอ เช่น ไฟล์ที่ถูกสร้างขึ้นมาโดยไม่ทราบสาเหตุ