據相關結果顯示，大約有2000臺Palo Alto Networks設備在一場利用新披露的安全漏洞的活動中被入侵，這些漏洞正在野外受到積極利用。根據Shadowserver Foundation提供的統計數據，大多數感染報告來自美國（554例）和印度（461例），其次是泰國（80例）、墨西哥（48例）、印度尼西亞（43例）、土耳其（41例）、英國（39例）、秘魯（36例）和南非（35例）。Censys本周早些時候透露，他們已識別出13,324個公開暴露的下一代防火墻（NGFW）管理界面，其中34%的暴露位于美國。需要注意的是，并非所有暴露的主機都必然會受攻擊。

有問題的缺陷CVE-2024-0012（CVSS 評分：9.3）和 CVE-2024-9474（CVSS 評分：6.9）是身份驗證繞過和權限提升的組合，可能允許不良行為者執行惡意操作，包括修改配置和執行任意代碼。

何為更有效的應對措施

Palo Alto Networks 表示正在以 Operation Lunar Peek 的名義跟蹤最初對漏洞的零日漏洞利用，他們正在被武器化以實現命令執行并將惡意軟件（例如基于 PHP 的 Web shell）投放到被黑客入侵的防火墻上。

網絡安全供應商還說，針對安全漏洞的網絡攻擊可能會在將它們組合的漏洞利用可用后升級。為此，以中等到高度的置信度評估鏈接 CVE-2024-0012 和 CVE-2024-9474 的功能性漏洞是否公開可用，這將允許更廣泛的威脅活動。此外，他們已經觀察到手動和自動掃描活動，用戶需盡快應用最新的修復程序，并根據推薦的最佳實踐部署指南安全訪問管理界面。尤其包括限制僅受信任的內部 IP 地址的訪問，以防止來自 Internet 的外部訪問。

用于丟棄Sliver 和Crypto 礦工的PAN 缺陷

Palo Alto Networks 最新披露，受感染設備的實際數量小于報告的數量，因為后者僅顯示暴露于Internet 管理界面的防火墻。除了與受影響的客戶合作外，其大多數客戶已經遵循行業最佳實踐并保護其管理界面，只有不到 0.5% 的防火墻具有暴露于互聯網的界面。

云安全公司 Wiz透露，在一周前發布有效的概念驗證POC 漏洞后，在野外的漏洞利用嘗試“急劇增加”，并且觀察到威脅行為者將漏洞武器化，以投放 Web shell、Sliver 植入物和加密礦工。

參考資料：https://thehackernews.com/2024/11/warning-over-2000-palo-alto-networks.html