پس از اینکه هکرهای مخرب شروع به سوء استفاده از این باگ برای نفوذ به شبکه های شرکتی کردند، Palo Alto Networks این هفته از شرکت ها خواست تا در برابر آسیب پذیری روز صفر جدید در یکی از محصولات امنیتی پرمصرف خود وصله کنند.

این آسیب‌پذیری رسماً با نام CVE-2024-3400 شناخته می‌شود و در نسخه‌های جدیدتر نرم‌افزار PAN-OS که روی محصولات فایروال GlobalProtect Palo Alto اجرا می‌شود، یافت شد. از آنجایی که این آسیب‌پذیری به هکرها اجازه می‌دهد تا بدون احراز هویت، کنترل کامل فایروال آسیب‌دیده را از طریق اینترنت به دست آورند، Palo Alto به این باگ امتیاز حداکثری شدت داد. سهولتی که هکرها می توانند از راه دور از این باگ سوء استفاده کنند، هزاران شرکت را که به دیوارهای آتش متکی هستند در معرض خطر نفوذ قرار می دهد.

پالو آلتو بيان کرد که مشتریان باید سیستم‌های آسیب‌دیده خود را به‌روزرسانی کنند و هشدار داد که شرکت «از تعداد فزاینده‌ای از حملات آگاه است» که از این روز صفر سوءاستفاده می‌کنند – که به این صورت توصیف می‌شود زیرا شرکت زمانی برای رفع اشکال قبل از سوء استفاده‌های مخرب نداشت. با اضافه کردن یک عارضه دیگر، Palo Alto در ابتدا پیشنهاد غیرفعال کردن تله متری را برای کاهش آسیب پذیری داد، اما این هفته بيان کرد که غیرفعال کردن تله متری مانع از بهره برداری نمی شود.

این شرکت همچنین بيان کرد که یک کد اثبات مفهوم عمومی وجود دارد که به هر کسی اجازه می دهد حملاتی را با سوء استفاده از روز صفر انجام دهد.

بنیاد Shadowserver، یک سازمان غیرانتفاعی که داده‌های مربوط به فعالیت‌های مخرب اینترنتی را جمع‌آوری و تجزیه و تحلیل می‌کند، بيان کرد که داده‌های آن نشان می‌دهد که بیش از 156000 دستگاه فایروال Palo Alto بالقوه آسیب‌دیده به اینترنت متصل هستند که نماینده هزاران سازمان هستند.

شرکت امنیتی Volexity که برای اولین بار این آسیب‌پذیری را کشف و به Palo Alto گزارش کرد، بيان کرد که شواهدی از سوءاستفاده‌های مخرب به 26 مارس، حدود دو هفته قبل از انتشار اصلاحات Palo Alto، پیدا کرده است. Volexity بيان کرد که یک عامل تهدید تحت حمایت دولت که آن را UTA0218 می نامد از این آسیب پذیری برای ایجاد یک درب پشتی و دسترسی بیشتر به شبکه های قربانیان خود سوء استفاده کرد. دولت یا کشوری که UTA0218 برای آن کار می کند هنوز مشخص نیست.

این روز صفر پالو آلتو آخرین مورد از آسیب‌پذیری‌های کشف شده در ماه‌های اخیر است که دستگاه‌های امنیتی شرکت‌ها را مورد هدف قرار می‌دهد - مانند فایروال‌ها، ابزارهای دسترسی از راه دور و محصولات VPN. این دستگاه‌ها در لبه یک شبکه شرکتی قرار دارند و به عنوان دروازه‌بان دیجیتال عمل می‌کنند، اما تمایل دارند آسیب‌پذیری‌های شدیدی داشته باشند که امنیت و دفاع آنها را مورد بحث قرار می‌دهد.

در اوایل سال جاری، فروشنده امنیتی Ivanti چندین آسیب‌پذیری مهم روز صفر را در محصول VPN خود، Connect Secure، رفع کرد که به کارمندان اجازه می‌دهد از راه دور به سیستم‌های یک شرکت از طریق اینترنت دسترسی داشته باشند. در آن زمان، Volexity این نفوذها را به یک گروه هکری تحت حمایت چین مرتبط کرد و به سرعت بهره برداری انبوه از این نقص را دنبال کرد. با توجه به استفاده گسترده از محصولات ایوانتی، دولت ایالات متحده به آژانس های فدرال هشدار داد که سیستم های خود را اصلاح کنند و آژانس امنیت ملی ایالات متحده نیز بيان کرد که در حال ردیابی بهره برداری احتمالی در سراسر پایگاه صنعتی دفاعی ایالات متحده است.

و شرکت فناوری ConnectWise که ابزار اشتراک‌گذاری صفحه نمایش محبوب ScreenConnect را برای ارائه پشتیبانی فنی از راه دور توسط مدیران فناوری اطلاعات مورد استفاده قرار می‌دهد، آسیب‌پذیری‌هایی را برطرف کرد که محققان آن را «به‌طور شرم‌آوری برای بهره‌برداری آسان» و همچنین منجر به بهره‌برداری انبوه از شبکه‌های شرکتی شد.

در TechCrunch بیشتر بخوانید:

خبرکاو