Siemens está trabalhando na correção de dispositivos afetados por bug do Firewall de Palo Alto
Os crescentes ataques direcionados à falha levaram a CISA a incluí-la no catálogo de vulnerabilidades exploradas conhecidas no início deste mês.
A Siemens está incentivando as organizações que usam seus dispositivos Ruggedcom APE1808 configurados com Palo Alto Networks (PAN) Virtual NGFW a implementar soluções alternativas para um bug de gravidade máxima de dia zero que a PAN divulgou recentemente em seu produto de firewall de última geração.
A vulnerabilidade de injeção de comando, identificada como CVE-2024-3400 , afeta várias versões de firewalls PAN-OS quando determinados recursos estão habilitados neles. Um invasor tem explorado a falha para implantar um novo backdoor Python nos firewalls afetados.
Explorado ativamente
O PAN corrigiu a falha depois que pesquisadores da Volexity descobriram a vulnerabilidade e a relataram ao fornecedor de segurança no início deste mês. A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) adicionou CVE-2024-3400 ao seu catálogo de vulnerabilidades exploradas conhecidas após relatos de vários grupos atacando a falha.
A própria Palo Alto Networks disse estar ciente de um número crescente de ataques que aproveitam o CVE-2024-3400 e alertou sobre o código de prova de conceito para a falha estar disponível publicamente.
De acordo com a Siemens, seu produto Ruggedcom APE1808 – comumente implantado como dispositivos de ponta em ambientes de controle industrial – é vulnerável ao problema . A Siemens descreveu todas as versões do produto com PAN Virtual NGFW configuradas com o gateway GlobalProtect ou portal GlobalProtect – ou ambos – como afetadas pela vulnerabilidade.
Em um comunicado, a Siemens disse que está trabalhando em atualizações para o bug e recomendou contramedidas específicas que os clientes deveriam tomar entretanto para mitigar o risco. As medidas incluem o uso de IDs de ameaças específicos que o PAN divulgou para bloquear ataques direcionados à vulnerabilidade. O comunicado da Siemens apontou a recomendação do PAN para desabilitar o gateway GlobalProtect e o portal GlobalProtect, e lembrou aos clientes que os recursos já estão desabilitados por padrão em ambientes de implantação Ruggedcom APE1808.
O PAN inicialmente também recomendou que as organizações desabilitassem a telemetria do dispositivo para se protegerem contra ataques direcionados à falha. O fornecedor de segurança posteriormente retirou esse conselho, alegando ineficácia. “A telemetria do dispositivo não precisa ser habilitada para que os firewalls PAN-OS sejam expostos a ataques relacionados a esta vulnerabilidade”, observou a empresa.
A Siemens instou os clientes, como regra geral, a proteger o acesso à rede a dispositivos em ambientes de controle industrial com mecanismos apropriados, dizendo: “Para operar os dispositivos em um ambiente de TI protegido, a Siemens recomenda configurar o ambiente de acordo com as diretrizes operacionais da Siemens para Segurança Industrial.”
A Shadowserver Foundation, que monitora a Internet em busca de tráfego relacionado a ameaças, identificou cerca de 5.850 instâncias vulneráveis do NGFW da PAN expostas e acessíveis pela Internet em 22 de abril. Cerca de 2.360 das instâncias vulneráveis parecem estar localizadas na América do Norte; A Ásia foi responsável pelo segundo maior número, com cerca de 1.800 casos expostos.
Dispositivos expostos à Internet continuam sendo um risco crítico para ICS/OT
Não está claro quantas dessas instâncias expostas estão em configurações de sistema de controle industrial (ICS) e tecnologia operacional (TO). Mas, em geral, a exposição à Internet continua a ser um problema importante nos ambientes ICS e TO. Uma nova investigação da Forescout descobriu cerca de 110.000 sistemas ICS e OT voltados para a Internet em todo o mundo. Os EUA lideraram, respondendo por 27% dos casos expostos. No entanto, esse número foi significativamente menor em comparação com alguns anos atrás. Em contraste, a Forescout constatou um aumento acentuado no número de equipamentos ICS/OT expostos à Internet noutros países, incluindo Espanha, Itália, França, Alemanha e Rússia.
“Os invasores oportunistas estão abusando cada vez mais dessa exposição em grande escala – às vezes com uma lógica de segmentação muito frouxa, impulsionada por tendências, como eventos atuais, comportamento imitador ou emergências encontradas em novos recursos prontos para uso ou guias de hacking”, disse Forescout. . O fornecedor de segurança avaliou que a exposição tinha a ver, pelo menos em parte, com integradores de sistemas que entregavam pacotes com componentes que inadvertidamente expõem sistemas ICS e OT à Internet. “Com toda a probabilidade”, disse Forescout, “a maioria dos proprietários de ativos não sabe que essas unidades embaladas contêm dispositivos TO expostos”.