Am 18. November 2024 gab Palo Alto Networks zwei Schwachstellen (CVE-2024-0012 und CVE-2024-9474) in Palo Alto Networks OS (PAN-OS) bekannt. Dieses Betriebssystem, wird auf deren Firewall-Geräten genutzt. Einen Tag später veröffentlichte watchTowr einen Report mit technischen Details darüber, wie die beiden Schwachstellen miteinander verknüpft werden können, um eine Remotecodeausführung dieser Schwachstellen zu erreichen.
Bereits einige Stunden nach der Veröffentlichung des watchTowr-Reports beobachtete Arctic Wolf Labs mehrere Angriffe, die Palo Alto Networks-Geräte betrafen. Aufgrund des engen zeitlichen Zusammenhangs mit der Veröffentlichung des watchTowr-Reports und zusätzlicher von Arctic Wolf Labs geprüfter Beweise geht Arctic Wolf mit mittlerer Wahrscheinlichkeit davon aus, dass bei diesen Einbrüchen CVE-2024-0012 in Verbindung mit CVE-2024-9474 für den Erstzugang ausgenutzt wurde. Weitere wichtige Erkenntnisse von Arctic Wolf:
- Betroffene Geräte lösten Downloads über HTTP aus, darunter das Sliver C2-Framework, Coinminer Binaries und verschiedene andere Payloads.
- Es gibt Hinweise darauf, dass die Bedrohungsakteure die kürzlich bekannt gewordenen PAN-OS-Schwachstellen CVE-2024-0012 und CVE-2024-9474 ausgenutzt haben, um sich einen ersten Zugang zu verschaffen.
- Die Überwachung von Firewall-Protokollen auf Nutzernamen mit ungewöhnlichen Zeichen bietet eine Möglichkeit zur frühzeitigen Erkennung von Kill Chains.
„Die beiden Sicherheitslücken CVE-2024-0012 und CVE-2024-9474 im Betriebssystem von Palo Alto Networks sind ein Beispiel für die Möglichkeiten, die sich Cyberkriminellen durch die Verkettung zweier ungepatchter Sicherheitslücken bieten. Da sich die Hacker-Community ständig weiterentwickelt und neue Taktiken, Techniken und Verfahren (TTPs) mit innovativen Tools kombiniert, müssen Lücken in Systemen umgehend aufgespürt und geschlossen werden.
Die bisher gemeldeten Aktivitäten der Bedrohungsakteure sind lediglich ein Bruchteil dessen, was die möglichen Folgen dieser Beobachtungen sein könnten. Wir wissen, dass Cyberkriminelle vor nichts zurückschrecken, um mit allen Mitteln in Unternehmenssysteme einzudringen und von ähnlichen Bedrohungen zu profitieren. Die Unternehmen müssen daher schnell reagieren, um sich und ihre Kunden zu schützen.“ (Keri Shafer-Page, VP of Incident Response bei Arcitic Wolf)
Mehr bei ArcticWolf.com
Über Arctic Wolf Arctic Wolf ist ein weltweiter Marktführer im Bereich Security Operations und bietet die erste cloudnative Security-Operations-Plattform zur Abwehr von Cyber-Risiken. Basierend auf Threat Telemetry, die Endpunkt-, Netzwerk- und Cloud-Quellen umfasst, analysiert die Arctic Wolf® Security Operations Cloud weltweit mehr als 1,6 Billionen Security Events pro Woche. Sie liefert unternehmenskritische Erkenntnisse zu nahezu allen Security Use Cases und optimiert die heterogenen Sicherheitslösungen der Kunden. Die Arctic Wolf Plattform ist bei mehr als 2.000 Kunden weltweit im Einsatz. Sie bietet automatisierte Threat Detection und Response und ermöglicht es Unternehmen jeder Größe, auf Knopfdruck erstklassige Security Operations einzurichten.
Passende Artikel zum Thema