A Palo Alto Networks instou as empresas esta semana a corrigir uma vulnerabilidade de dia zero recém-descoberta em um de seus produtos de segurança amplamente utilizados, depois que hackers mal-intencionados começaram a explorar o bug para invadir redes corporativas.
A vulnerabilidade é oficialmente conhecido como CVE-2024-3400 e foi encontrado nas versões mais recentes do software PAN-OS executado nos produtos de firewall GlobalProtect da Palo Alto. Como a vulnerabilidade permite que hackers obtenham controle total de um firewall afetado pela Internet sem autenticação, Palo Alto atribuiu ao bug uma classificação de gravidade máxima. A facilidade com que os hackers podem explorar remotamente o bug coloca milhares de empresas que dependem dos firewalls em risco de invasões.
Paulo Alto disse os clientes devem atualizar seus sistemas afetados, alertando que a empresa está “consciente de um número crescente de ataques” que exploram esse dia zero – descrito como tal porque a empresa não teve tempo de corrigir o bug antes que ele fosse explorado de forma maliciosa. Adicionando outra complicação, Palo Alto sugeriu inicialmente desabilitar a telemetria para mitigar a vulnerabilidade, mas disse esta semana que desabilitar a telemetria não impede a exploração.
A empresa também disse que existe um código público de prova de conceito que permite a qualquer pessoa lançar ataques explorando o dia zero.
A Shadowserver Foundation, uma organização sem fins lucrativos que coleta e analisa dados sobre atividades maliciosas na Internet, disse seus dados mostram há mais de 156 mil dispositivos de firewall de Palo Alto potencialmente afetados conectados à Internet, representando milhares de organizações.
Empresa de segurança Volexity, que primeiro descobriu e relatou a vulnerabilidade para Palo Alto, disse que encontrou evidências de exploração maliciosa desde 26 de março, cerca de duas semanas antes de Palo Alto lançar as correções. A Volexity disse que um ator de ameaça apoiado pelo governo, chamado UTA0218, explorou a vulnerabilidade para plantar uma porta dos fundos e acessar ainda mais as redes de suas vítimas. O governo ou estado-nação para o qual UTA0218 trabalha ainda não é conhecido.
O dia zero de Palo Alto é a mais recente de uma série de vulnerabilidades descobertas nos últimos meses visando dispositivos de segurança corporativa – como firewalls, ferramentas de acesso remoto e produtos VPN. Esses dispositivos ficam na borda de uma rede corporativa e funcionam como guardiões digitais, mas têm propensão a conter vulnerabilidades graves que tornam sua segurança e defesas discutíveis.
No início deste ano, o fornecedor de segurança Ivanti corrigiu várias vulnerabilidades críticas de dia zero em seu produto VPN, Connect Secure, que permite aos funcionários acesso remoto aos sistemas de uma empresa pela Internet. Na época, a Volexity vinculou as invasões a um grupo de hackers apoiado pela China, e a exploração em massa da falha ocorreu rapidamente. Dada a utilização generalizada dos produtos da Ivanti, o governo dos EUA alertou as agências federais para corrigirem os seus sistemas e a Agência de Segurança Nacional dos EUA disse que estava a monitorizar a exploração potencial em toda a base industrial de defesa dos EUA.
E a empresa de tecnologia ConnectWise, que fabrica a popular ferramenta de compartilhamento de tela ScreenConnect, usada por administradores de TI para fornecer suporte técnico remoto, corrigiu vulnerabilidades que os pesquisadores consideraram “embaraçosamente fáceis de explorar” e que também levaram à exploração em massa de redes corporativas.
Leia mais no TechCrunch:
