Þann 12. apríl síðastliðin voru gefnar út ráðleggingar um mótvægisaðgerðir vegna veikleika í VPN gáttum Palo Alto netbúnaðar [1]. Nú hefur komið í ljós að mótvægisaðgerðirnar um að afvirkja Telemetry eiga ekki lengur við og er hægt að misnota veikleikann þó að slökkt sé á Telemetry. Það er því nauðsynlegt að uppfæra Application and Threats listann og virkja þær varnir á Global Protect portal og Gateway [2].
Veikleiki
Staðfest hefur verið að fjöldi ógnaraðila séu að misnota veikleikann CVE-2024-3400 til að hala niður stýriskrá netbúnaðar (e. running-config) eða koma fyrir bakdyrum (e. backdoor). Stýriskrár innihalda upplýsingar sem geta verið notaðar til þess að framkvæma frekari árásir, oft löngu eftir stuld.
Ummerki
Hægt er að leita eftir ummerkjum um innbrot með því að keyra eftirfarandi skipun: grep pattern „failed to unmarshal“ mp-log gpsvc.log*. Fyrir þau fyrirtæki og stofnanir sem ekki virkjuðu varnir á Global Protect og Gateway áður en kerfi var uppfært ættu að fylgja viðbragðsáætlun vegna leka á stýriskrám. Ástæðan er sú að við uppfærslu hreinsast út atburðarskrár og er því erfitt að sannreyna eða hrekja hvort stýriskrá netbúnaðar hafi verið sótt.
Ráðleggingar
Dæmi um viðbragðsáætlun ef stýriskrá kemst í hendur óviðkomandi aðila er að breyta öllum lykilorðum notenda, sameiginlegum lykilorðum (e. shared secrets) og skilríkjum (TLS skilríki t.d.) sem finnast á netbúnaðinum. Þeir sem hafa aðgang að skipunarlínu Palo Alto geta séð hvaða lykilorð, skirteini og sameiginleg lykilorð eru í notkun með því að fylgja leiðbeiningum á vefsíðu þeirra [3].
Tilvísanir:
[1] https://cert.is/frettir-og-tilkynningar/frettasafn/frett/fr%C3%A9ttir/alvarlegir-veikleikar-hja-fortinet-paloalto-og-d-link
[2] https://security.paloaltonetworks.com/CVE-2024-3400
[3] https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA10g000000ClHoCAK