网络安全巨头Palo Alto Networks警告客户，其防火墙工具中的0day漏洞正在被黑客利用。该公司在周五上午发布了关于CVE-2024-3400的公告（影响流行的GlobalProtect VPN产品），其严重性评分为10分最高分。Palo Alto Networks还表示，已经注意到有少数利用了这一漏洞的攻击。

这个命令注入漏洞源自GlobalProtect安全远程访问功能，可能允许远程未经身份验证的攻击者在PAN-OS防火墙设备上以root权限执行任意代码。美国网络安全与基础设施安全局（CISA）几乎立即将该漏洞添加到其已知被利用漏洞的列表中，表明联邦机构需要尽快修补此漏洞。与大多数漏洞给予的三周时间相比，CISA罕见地仅给予了联邦机构七天的时间来采取缓解措施。

据悉，网络安全公司Volexity的研究人员发现并报告了这个漏洞，并称很可能利用此漏洞的攻击者背后有国家支持。之所以会做出这一评估，主要是基于以下几点——开发利用该性质漏洞所需的资源、所针对的受害者类型、以及安装Python后门并进一步访问受害者网络的能力。

Volexity最初是在周三和周四注意到两个客户的防火墙存在可疑的网络流量，之后的进一步调查发现，黑客（称之为UTA0218）成功地远程利用了PAN-OS防火墙，创建了一个反向shell，并下载了其他工具到被攻击的设备上。攻击者从目标设备中导出数据，继而试图将其作为在组织内部横向移动的入口点。Volexity扩大调查范围后发现，从3月26日开始，多家客户和其他组织都受到了这个漏洞的攻击。

攻击者似乎是在最初几天内测试了漏洞的可利用性，然后在4月7日开始尝试全面利用。攻击者于周三攻击取得了成功，在这之后，黑客迅速在受害者的网络中横向移动，窃取了敏感的凭证及其他文件，这些文件能为其在入侵期间甚至入侵后提供访问权限。

Volexity警告称，由于漏洞的公开，未来几天可能会观察到利用的激增。Palo Alto Networks的公告中指出，补丁会在周日前提供给客户。此外，Palo Alto Networks还提供了几种缓解措施供客户采用：具有威胁预防订阅的客户可以通过启用威胁ID 95187来阻止攻击，并确保其GlobalProtect接口应用了漏洞保护。对于无法应用威胁预防缓解的客户，暂时禁用设备遥测也是一种解决方法。

研究报告链接：https://www.volexity.com/blog/2024/04/12/zero-day-exploitation-of-unauthenticated-remote-code-execution-vulnerability-in-globalprotect-cve-2024-3400/

编辑：左右里

资讯来源：Palo Alto Networks、Volexity、scmagazine

转载请注明出处和本文链接

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法