آژانس امنیت سایبری و امنیت زیرساخت ایالاتمتحده (CISA) روز پنجشنبه ۷ نوامبر ۲۰۲۴ با استناد به شواهدی مبنی بر بهرهبرداری فعال، یک نقص امنیتی حیاتی که اکنون Palo Alto Networks Expedition را تحت تأثیر قرار میدهد، به فهرست آسیبپذیریهای شناختهشده مورد بهرهبرداری[۱] خود (KEV) اضافه کرد[۲].
این آسیبپذیری که بهعنوان CVE-2024-5910 ردیابی میشود[۳] (امتیاز ۹٫۳ در مقیاس CVSS)، مربوط به یک مورد عدم احراز هویت در ابزار مهاجرت Expedition است که میتواند به تصاحب حساب سرپرست منجر شود.
CISA در هشداری گفت: “Palo Alto Expedition حاوی یک آسیبپذیری احراز هویت مفقود است که به مهاجمی با دسترسی به شبکه اجازه میدهد تا یک حساب مدیریت Expedition را تصاحب کند و احتمالاً به اسرار پیکربندی، اعتبارنامهها و سایر دادهها دسترسی داشته باشد.”
این نقص روی همه نسخههای Expedition قبل از نسخه ۱٫۲٫۹۲ تأثیر میگذارد که در ژوئیه ۲۰۲۴ برای رفع این مشکل منتشر شد.
در حال حاضر هیچ گزارشی در مورد چگونگی استفاده از این آسیبپذیری در حملات دنیای واقعی وجود ندارد، اما Palo Alto Networks از آن زمان توصیه اولیه خود را اصلاح کرده[۴] تا اذعان کند که “از گزارشهای CISA مبنی بر وجود شواهدی از بهرهبرداری فعال آگاه است.”
همچنین دو نقص دیگر به کاتالوگ KEV اضافه شده است، ازجمله آسیبپذیری افزایش امتیاز در مؤلفه Android Framework (CVE-2024-43093) که گوگل در این هفته فاش کرد[۵] که تحت «استثمار هدفمند و محدود» قرار گرفته است.
نقص امنیتی دیگر CVE-2024-51567 (امتیاز ۱۰٫۰ در مقیاس CVSS) است[۶]، یک نقص مهم که CyberPanel را تحت تأثیر قرار میدهد و به مهاجم از راه دور و احراز هویت نشده اجازه میدهد تا دستورات را بهعنوان root اجرا کند[۷]. این مشکل در نسخه ۲٫۳٫۸ حل شده است.
به گفته [۸]LeakIX و یک محقق امنیتی که از نام مستعار آنلاین Gi7w0rm[9] استفاده میکند، در اواخر اکتبر ۲۰۲۳، مشخص شد که این آسیبپذیری بهطور انبوه توسط عوامل مخرب برای استقرار باج افزار PSAUX در بیش از ۲۲۰۰۰ نمونه CyberPanel در معرض اینترنت مورد بهرهبرداری قرار گرفته است.
LeakIX همچنین اشاره کرد[۱۰] که سه گروه باجافزاری متمایز بهسرعت از این آسیبپذیری استفاده کردهاند و در برخی موارد فایلها چندین بار رمزگذاری شدهاند.
به آژانسهای شعبه اجرایی غیرنظامی فدرال (FCEB) توصیه شده است تا آسیبپذیریهای شناساییشده را تا ۲۸ نوامبر ۲۰۲۴ اصلاح کنند تا شبکههای خود را در برابر تهدیدات فعال ایمن کنند.
منابع
[۱] https://www.cisa.gov/known-exploited-vulnerabilities-catalog
[۲] https://www.cisa.gov/news-events/alerts/2024/11/07/cisa-adds-four-known-exploited-vulnerabilities-catalog
[۳] https://thehackernews.com/2024/07/palo-alto-networks-patches-critical.html
[۴] https://security.paloaltonetworks.com/CVE-2024-5910
[۵] https://apa.aut.ac.ir/?p=10755
[۶] https://cyberpanel.net/blog/detials-and-fix-of-recent-security-issue-and-patch-of-cyberpanel
[۷] https://dreyand.rs/code/review/2024/10/27/what-are-my-options-cyberpanel-v236-pre-auth-rce
[۸] https://x.com/leak_ix/status/1851275663337984399
[۹] https://x.com/Gi7w0rm/status/1851275856393453903
[۱۰] https://x.com/leak_ix/status/1851609898129260562
[۱۱] https://thehackernews.com/2024/11/cisa-alerts-to-active-exploitation-of.html
ثبت ديدگاه