Palo Alto Networks发出警示：黑客再次入侵其客户的防火墙

该公司表示已观察到对这两个漏洞的利用，其中 CVE-2024-0012 允许拥有管理 Web 界面网络访问权限的攻击者获得管理员权限，而第二个漏洞（跟踪为 CVE-2024-9474 ）允许攻击者以更高的 root 权限在受影响的防火墙上执行操作；

如果同时使用这些漏洞，攻击者就可以在受影响的防火墙上以最高权限远程植入恶意代码，从而更深入地访问公司网络。

Palo Alto Networks 称，攻击者现在正在使用他们自己的功能性漏洞，将这两个漏洞串联起来，攻击暴露在互联网上的"有限数量的设备管理 Web 界面"。

据扫描和监控互联网漏洞利用的非营利组织 Shadowserver Foundation 称， 黑客利用最近修补的两个漏洞，已经入侵了 2000 多台受影响的 Palo Alto Networks 防火墙。 该非营利组织发现，被入侵设备最多的国家是美国，其次是印度，黑客还利用了英国、澳大利亚和中国的防火墙。

该公司拒绝证实有多少防火墙被入侵。

美国网络安全公司Arctic Wolf本周表示，在发布概念验证漏洞后，其研究人员还观察到黑客早在11月19日就利用这两个Palo Alto防火墙漏洞入侵客户网络。

Arctic Wolf 的威胁情报研究人员 Andres Ramos 在公司的博文中说："在成功利用漏洞后，我们观察到威胁行为者试图将工具转移到环境中，并从被入侵的设备中流出配置文件。"

Palo Alto Networks 发布了这两个漏洞的补丁，并敦促企业尽快打上补丁。 美国网络安全机构 CISA 也已将这两个漏洞添加到其已知漏洞目录中，该目录实际上命令民用联邦机构在三周时间内为其系统打上补丁。

安全公司watchTowr Labs的研究人员逆向设计了 Palo Alto 的补丁，他们认为这些漏洞是开发过程中的基本错误造成的。

这是近几个月来在防火墙、VPN 产品和远程访问工具等企业安全设备中发现的最新漏洞。 这是 Palo Alto Networks 在今年发现的网络安全厂商 Ivanti 和Check Point 开发的类似产品中的漏洞，发出的 第二个重大安全警报。